자카르타 - 북한의 위협 행위자와 관련된 사이버 캠페인이 소프트웨어 개발자에게 악성 코드를 전송하기 위해 가짜 직업 광고를 사용하여 밝혀졌습니다. 이 작업은 Graphalgo로 알려져 있으며 JavaScript 및 Python 전문가, 특히 암호화 분야에서 경험이있는 전문가를 대상으로합니다.
ReversingLabs의 보고서에 따르면 이 캠페인은 2025년 5월부터 활동하고 있습니다. 범죄자들은 블록체인 및 암호화폐 거래 회사를 위장하고 LinkedIn, Facebook 및 Reddit과 같은 플랫폼을 통해 가짜 채용 광고를 게시했습니다.
관심이 있는 지원자는 채용 과정의 일환으로 기술 테스트를 완료해야 합니다. 일반적으로 이 작업은 정상적이고 전문적으로 보이는 예제 프로젝트의 디버깅 또는 향상으로 이루어집니다. 그러나 프로젝트 뒤에는 숨겨진으로 삽입되고 npm 및 PyPI와 같은 신뢰할 수있는 저장소에 업로드 된 위험한 의존성이 있습니다.
피해자가 프로젝트를 실행하면 위험한 의존성이 시스템에 원격 액세스 트로이 목마 (RAT)를 설치합니다. 이 악성 코드는 피해자가 알지 못한 채 감염된 장치에 완전한 제어권을 제공합니다.
발표 된 결과에 따르면 적어도 192개의 위험한 패키지는 Graphalgo 작업과 관련이 있습니다. 한 경우에 bigmathutils라는 패키지는 1.1.0 버전까지는 처음에는 깨끗했지만 결국 위험한 페이로드로 침투했습니다. 그 후, 패키지는 더 이상 감지되지 않도록 제거되었습니다.
설치된 RAT은 실행 중인 프로세스 목록을 표시하고, 임의 명령을 실행하고, 파일을 추출하고, 추가 페이로드를 다운로드하고 실행하는 등 다양한 위험한 활동을 수행할 수 있습니다. 악성 코드는 또한 공격의 재정적 동기를 나타내는 피해자 브라우저에서 MetaMask 암호 지갑 확장의 존재를 확인합니다.
악성 코드와 제어 서버 간의 통신은 보호된 토큰 기반 방법을 사용하여 수행되므로 보안 시스템에 의한 외부 모니터링이 어렵습니다.
사이버 보안 전문가들은 그래프알고의 작전이 북한과 오랜 시간 동안 연관되어 왔으며 사회 공학 기반 공격과 가짜 채용 계획을 수행하는 것으로 알려진 해커 그룹 라자루스와 관련이 있을 것으로 평가했습니다.
이 사건은 개발자들에게 소프트웨어 저장소에서 의심스러운 업데이트 활동, 출판자의 평판, 버전 기록을 확인하는 것을 포함하여 패키지 및 의존성을 설치하기 전에 항상 철저히 검증하도록 다시 한번 상기시킵니다.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
