히큐리티(Hecurity)
[2026-06-29] 정상 프로그램으로 위장한 악성코드, GitHub 별점과 유튜브 조회수까지 조작 본문
오늘의 뉴스클리핑의 이슈는 바로 정상 프로그램으로 위장한 악성코드, GitHub 별점과 유튜브 조회수까지 조작입니다 - !

정상 프로그램으로 위장한 악성코드, GitHub 별점과 유튜브 조회수까지 조작
이번 사건은 체크포인트리서치(Check Point Research)가 2026년 6월 공개한 보고서를 통해 밝혀진 것으로, 공격자가 깃허브(GitHub), 소스포지(SourceForge), 유튜브(YouTube), 뉴스 사이트, 암호화폐 포럼, 바이러스토털(VirusTotal) 등 다수의 신뢰 플랫폼에서 평판을 인위적으로 조작해 악성 프로그램을 정상 소프트웨어처럼 위장·유포한 정교한 사회공학적 캠페인이다. 공격의 표적은 암호화폐 투자자와 온라인 게임·도박 이용자였으며, 솔라나(Solana) 자동매매 봇 및 펌프닷펀(Pump.fun) 스나이퍼 봇 등 수익형 프로그램으로 위장한 미끼 콘텐츠를 통해 사용자를 피싱 사이트로 유인했다. 실제 유포된 악성코드는 러스트(Rust) 언어로 개발된 클립보드 하이재커(Clipboard Hijacker)로, 피해자가 암호화폐 지갑 주소를 복사하는 순간 이를 공격자 소유의 지갑 주소로 교체하여 자산을 탈취하는 방식으로 작동했다. 깃허브에서만 5,000건 이상, 소스포지에서는 4만 4,000건 이상의 다운로드가 발생한 것으로 추정되며, 바이러스토털에서의 평판 조작이 병행되어 보안 솔루션의 탐지를 우회하는 데까지 활용되었다.
소스포지(SourceForge)
1) 오픈소스 소프트웨어 프로젝트를 호스팅하고 배포할 수 있는 플랫폼.
2) 깃허브와 유사하게 개발자 커뮤니티에서 신뢰도가 높은 배포 채널로 인식되어 이번 공격에서 악용되었다.
러스트(Rust)
1) 메모리 안전성을 언어 차원에서 강제하는 시스템 프로그래밍 언어.
2) 컴파일된 바이너리가 분석 도구에 의해 역공학되기 어렵고, 실행 파일에 런타임 의존성이 적어 악성코드 개발 언어로 점점 많이 채택되고 있다.
클립보드 하이재킹(Clipboard Hijacking)
: 운영체제의 클립보드(복사·붙여넣기 임시 저장 공간)를 악성코드가 지속적으로 감시하다가, 특정 형식의 데이터(예: 암호화폐 지갑 주소)가 감지되는 순간 그 값을 공격자가 원하는 값으로 무단 교체하는 공격 기법.
공격과정 1 : 신뢰 기반 침투 및 악성코드 배포
공격자는 단순한 악성 링크 유포가 아닌, 플랫폼 생태계 전반의 신뢰 체계를 조작하는 방식으로 초기 감염 경로를 구축했다. 피싱 사이트를 중심 허브로 삼아, 유튜브 영상 설명란과 커뮤니티 게시글에 공식 다운로드 링크처럼 보이는 URL을 삽입해 사용자를 피싱 사이트로 유입시켰다. 피싱 사이트는 실제 서비스의 공식 홈페이지처럼 디자인되어 있었으며, 여기서 깃허브·소스포지 다운로드 버튼과 바이러스토털 검사 결과 링크를 함께 제공하는 방식으로 다층적 신뢰 우회 구조를 완성했다. 깃허브에서는 최소 6개의 계정을 직접 운영하여 저장소 간 상호 기여자 등록을 통해 외형상 활발한 오픈소스 프로젝트처럼 꾸몄고, 다수의 가짜 계정(고스트 네트워크)을 동원해 별점(Star)과 포크(Fork) 수를 인위적으로 부풀렸다. 소스포지에서는 동일한 구조의 가짜 계정들이 긍정적인 평가와 댓글을 집중적으로 게시했으며, 다운로드 수를 4만 4,000건 이상으로 부풀리기 위해 안드로이드 기기 팜(Device Farm)을 활용한 것으로 분석된다. 유튜브에서는 AI가 생성한 가상 내레이터가 등장하는 시연 영상을 제작하고, 조회수·좋아요·댓글을 자동화 수단으로 부풀려 실제 사용자들이 프로그램의 유효성을 검증한 것처럼 연출했다. 뉴스 사이트와 비트코인톡 등 암호화폐 커뮤니티에도 동일 날짜에 동일한 홍보 게시물이 동시 게재되었으며, 바이러스토털에는 악성 샘플에 대해 '안전하다'는 댓글과 추천을 직접 게시함으로써 낮은 탐지율과 결합하여 보안 솔루션 및 사용자 양쪽 모두를 기만하는 효과를 노렸다.
고스트 네트워크(Ghost Network)
1) 실제 사람이 아닌 자동화 스크립트 또는 허위 계정들로 구성된 가상 사용자 집단.
2) 별점, 팔로워, 포크, 댓글 등의 수치를 부풀려 플랫폼 신뢰도를 조작하는 데 사용된다.
디바이스 팜(Device Farm)
1) 다수의 실제 또는 에뮬레이션된 모바일 기기를 집중적으로 운용하는 인프라.
2) 이번 사례에서는 안드로이드 기기 팜을 이용해 소스포지의 다운로드 수를 인위적으로 부풀리는 데 사용되었다.
공격과정 2 : 클립보드 하이재킹을 통한 자산 탈취
피해자가 악성 파일을 실행하면, 러스트(Rust)로 개발된 클립보드 하이재커가 시스템 내에서 동작을 시작한다. 이 악성코드는 운영체제의 클립보드 접근 API를 지속적으로 모니터링하며, 윈도우 기준으로는 OpenClipboard(), GetClipboardData(), SetClipboardData() 같은 시스템 함수를 이용해 일정 시간 간격으로 클립보드 내용을 읽어온다. 읽어온 텍스트가 암호화폐 지갑 주소 형식에 해당하는지를 정규표현식(Regex) 패턴으로 판별하며, 비트코인 주소는 1, 3, bc1로 시작하는 특정 길이의 문자열, 이더리움 주소는 0x로 시작하는 42자리 16진수 형태가 그 기준이 된다.클립보드 하이재킹이 정교한 이유는 피해자의 암호화폐 자산에 직접 접근하는 방식이 아니라는 점에 있다. 공격자가 노리는 것은 지갑 주소 자체를 탈취하는 것이 아니라, 피해자가 제3자에게 송금하려는 순간 그 목적지 주소를 교체하는 것이다. 피해자가 수신자 A의 지갑 주소를 복사하는 순간, 악성코드는 클립보드에 저장된 A의 주소를 공격자 소유의 주소 B로 덮어쓴다. 이후 피해자가 자신의 지갑 애플리케이션에서 주소를 붙여넣고 송금을 실행하면, 피해자 본인의 개인 키로 서명된 거래가 B 주소로 전송되어 블록체인에 기록된다. 암호화폐 거래는 개인 키 보유자만이 자산을 이동시킬 수 있다는 구조적 원칙을 갖고 있지만, 이 공격은 그 원칙을 정면으로 뚫는 대신 피해자 스스로 잘못된 주소로 서명하도록 유도함으로써 블록체인 보안 구조 자체를 우회한다. 한 번 블록체인에 기록된 거래는 취소가 불가능하므로, 피해자가 주소 교체 사실을 인지하는 시점에는 이미 자산 회수가 불가능한 상태다.탐지 및 추적 회피를 위해 공격자는 악성코드 최신 버전 내에 1만 5,500개 이상의 지갑 주소를 탑재했으며, 거래가 완료될 때마다 새로운 주소로 교체하는 방식을 사용했다. 블록체인은 모든 거래 기록이 공개적으로 조회 가능하기 때문에, 단일 주소가 반복 사용되면 보안 연구자나 피해자가 해당 주소를 추적해 블랙리스트에 등록할 수 있다. 1만 5,500개 규모의 주소를 순환시키면 블랙리스트 등록 속도보다 주소 교체 속도가 훨씬 빠르기 때문에, 피해가 누적되는 동안 사실상 차단이 불가능한 구조가 만들어진다.
시사점
이번 공격이 기술적으로 주목받는 핵심 이유는 악성코드 자체의 정교함보다, 탐지 기반 자체를 무력화하는 전략에 있다. 바이러스토털에서 평판을 직접 조작함으로써 파일의 해시값이나 탐지율을 기준으로 판단하는 보안 도구의 신뢰성 자체를 흔들었다는 점은 보안을 공부하는 입장에서 반드시 짚고 넘어가야 할 부분이다. 기존에는 의심스러운 파일을 바이러스토털에 제출하여 탐지 결과를 참조하는 방식이 유효했지만, 이번 사례는 해당 판단 기준 자체가 조작 가능하다는 것을 실증했다. 시스템 로그와 네트워크 통신 기록의 관점에서 이 공격을 포착하려면 클립보드 접근 이벤트에 주목해야 한다. 정상적인 프로그램이 클립보드를 지속적으로 폴링(Polling)하거나 읽기·쓰기를 반복하는 행위는 이례적이며, 이를 프로세스 행위 기반 탐지 규칙으로 설정해두면 초기 단서가 될 수 있다. 또한 악성코드가 실행된 이후 외부 IP 또는 C2 서버와의 통신이 발생하는지를 네트워크 트래픽 로그에서 확인하는 것도 중요하다. 사고 발생 이후 흔적을 추적할 때는 피해자의 실행된 프로세스 목록, 해당 프로세스가 접근한 시스템 API 호출 기록을 우선 확인해야 하며, 특히 러스트로 컴파일된 바이너리는 일반적인 안티바이러스 엔진의 서명 기반 탐지를 우회할 수 있으므로 행위 기반(Behavior-based) 탐지 체계의 중요성이 강조된다. 또한 이번 사례는 소프트웨어 공급망 신뢰 모델에 대한 근본적인 재검토를 요구한다. 별점, 다운로드 수, 포크 수, 커뮤니티 댓글 등 기존의 신뢰 지표가 모두 조작 가능하다는 것이 입증된 만큼, 소프트웨어를 평가할 때는 코드 자체의 투명성, 공식 서명(Code Signing) 여부, 배포 채널의 공식성을 복합적으로 검토하는 습관이 필요하다.
폴링(Polling)
1) 특정 이벤트나 상태 변화를 감지하기 위해 일정 주기마다 반복적으로 대상을 확인하는 방식.
2) 클립보드 하이재커는 클립보드 내용을 주기적으로 폴링하여 지갑 주소 입력 시점을 감지한다.
개인의견
이번 공격 캠페인이 시사하는 가장 중요한 예방 원칙은 신뢰 지표의 다원화다. 단일 플랫폼의 평판 수치만으로 소프트웨어의 안전성을 판단하는 것은 이미 충분한 위협 모델이 되지 못한다. 만약 내가 실제 조직의 엔드포인트 보안 담당자였다면, 우선 신뢰할 수 있는 소프트웨어 배포 채널을 화이트리스트로 제한하고, 검증되지 않은 외부 소스에서 받은 실행 파일은 격리된 샌드박스 환경에서 동적 분석을 수행하는 절차를 의무화했을 것이다. 클립보드 접근 행위에 대해서는 EDR(Endpoint Detection and Response) 솔루션에 탐지 규칙을 추가하여, 특정 프로세스가 클립보드를 비정상적인 빈도로 읽거나 수정하는 패턴을 실시간으로 감시하는 체계를 갖추는 것이 효과적이다. 코드 서명(Code Signing) 정책의 강제 적용도 필수적인 대응 조치다. 내부 배포 정책에서 유효한 디지털 서명이 없는 실행 파일의 실행을 운영체제 수준에서 차단하거나 경고를 발생시키도록 설정하면, 이와 같이 비공식 경로로 유통되는 악성 파일의 실행 자체를 사전에 억제할 수 있다. 암호화폐 자산을 다루는 사용자나 조직이라면 지갑 주소 입력 시 반드시 붙여넣기 후 최소 앞뒤 4~6자리 이상을 육안으로 재확인하는 절차를 정책화하는 것이 현실적인 대안이다.특히 이 악성코드가 영리한 이유는 암호화폐의 보안 원칙을 정면으로 공격하지 않는다는 점이다. 개인 키를 탈취하거나 지갑 서버를 해킹하는 대신, 피해자가 송금하려는 목적지 주소만 교체함으로써 피해자 본인의 서명으로 공격자에게 자산이 이전되도록 설계되어 있다. 블록체인 구조상 개인 키 없이는 타인의 자산에 접근할 수 없다는 원칙이 오히려 역이용된 셈이며, 거래가 완료된 이후에는 어떤 수단으로도 되돌릴 수 없다는 점에서 피해의 확정성이 매우 높다. 또한 조직 내 보안 인식 교육에서 이번 사례처럼 AI 생성 영상, 조작된 리뷰, 부풀려진 다운로드 수를 이용한 신뢰 조작 기법을 명시적으로 다루어야 한다고 생각한다. 기술적 방어선만큼이나 사용자의 판단 기준을 강화하는 것이 이 유형의 공격에 대한 가장 근본적인 방어책이기 때문이다.
기사출처 : https://n.news.naver.com/article/138/0002232169
깃허브 별점·유튜브 조회수 조작…'정상 프로그램'으로 위장한 악성코드 등장
주요 플랫폼 평판을 조작해 악성코드를 정상 프로그램으로 위장하는 공격 수법이 확인됐다. 26일 보안업계에 따르면 체크포인트리서치는 이달 보고서를 통해 공격자가 피싱 사이트를 중심으로
n.news.naver.com
'뉴스클리핑✂️' 카테고리의 다른 글
| [2026-07-01] 휴대전화 개통 시 안면인증 (0) | 2026.07.01 |
|---|---|
| [2026-06-30] Perplexity 크롬 확장 프로그램 사칭 악성코드, 검색과 주소창 입력 탈취 (0) | 2026.06.30 |
| [2026-06-26] 클로드와 해킹 도구 결합한 공격 (0) | 2026.06.26 |
| [2026-06-25] 카카오페이증권, 번호 검증 없이 개인정보 오발송 (0) | 2026.06.25 |
| [2026-06-24] "통관비 내야 택배 배송"…물류업체 사칭 메일 주의 당부 (0) | 2026.06.24 |
