북한 해커의 ‘컨테이저스 인터뷰’ 공격… JSON 저장소 활용한 은밀한 페이로드 배포

북한 해커의 ‘컨테이저스 인터뷰’ 캠페인… JSON 저장소 활용한 은밀한 페이로드 전달

북한 해킹 조직이 주도하는 ‘컨테이저스 인터뷰(Contagious Interview)’ 캠페인이 JSON 기반의 외부 저장소 서비스를 악용해 악성 페이로드를 전달하는 방식으로 진화한 것으로 확인됐다. 보안 기업 NVISO 연구진은 최근 분석에서 JSONkeeper, JSONsilo, npoint.io 등 정상적인 온라인 JSON 저장 플랫폼이 공격 체인의 주요 단계로 사용되고 있다고 밝혔다.

1️⃣ 공격 개요 — 개발자로 위장한 고도화된 스피어 피싱

공격자는 LinkedIn·GitHub·GitLab·Bitbucket 등 IT 전문가 커뮤니티에서 활동하는 개발자와 엔지니어를 타깃으로 삼는다. 이들은 다음과 같은 명목으로 접근한다:

• 가짜 개발자 채용 평가
• 프로젝트 협업 요청
• 코드 리뷰 또는 데모 애플리케이션 테스트 의뢰

사용자는 자연스럽게 ‘테스트용 프로젝트’를 다운로드하도록 유도되며, 이 파일들은 Git 서비스 상의 정상 저장소처럼 구성되어 있어 의심을 피한다.

2️⃣ 공격 흐름 — JSON 저장소가 “페이로드 허브” 역할 수행

NVISO가 분석한 샘플에서는 공격 구조가 다음과 같은 단계로 구성돼 있었다:

✔ 단계 1 — Git 리포지토리 내부의 환경 파일 위장

프로젝트 내 server/config/.config.env 파일에는 Base64 인코딩된 API 키처럼 보이는 문자열이 포함되어 있다.

그러나 디코딩해보면 다음 단계의 악성 페이로드를 저장한 JSON 저장소 URL로 연결된다:

• JSONkeeper
• JSONsilo
• npoint.io

정상 서비스이기 때문에 보안 솔루션 탐지 회피가 가능하다.

✔ 단계 2 — JSON 저장소에서 난독화된 악성 페이로드 제공

JSON 문서에는 공격자의 자바스크립트 기반 멀웨어인 BeaverTail(비버테일)이 난독화된 형태로 포함된다. 이는 다음 기능을 수행한다:

• 브라우저/세션/시스템 정보 수집
• 계정·쿠키·인증 토큰 탈취
• 암호화폐 지갑 정보 수집

✔ 단계 3 — Python 백도어 ‘InvisibleFerret’ 설치

추가적으로 NVISO는 InvisibleFerret이라는 파이썬 기반 원격 제어(backdoor)를 확인했다.

기능:

• 원격 명령 실행
• 파일 업로드/다운로드
• 지속성 확보

✔ 단계 4 — 3단계 확장 페이로드: TsunamiKit

이번 캠페인에서 특히 주목되는 점은 추가 페이로드인 TsunamiKit이 확인된 점이다.

TsunamiKit은 다음 기능을 포함한다:

• 시스템 하드웨어·OS 지문 수집
• 데이터 탈취·압축·전송
• 추가 페이로드 로딩

추가 페이로드는 .onion 주소를 통해 전달되도록 구성되어 있었지만, 현재는 해당 서버가 오프라인 상태이다.

3️⃣ 사용된 도구 — 지속적으로 확장되는 북한 해킹 툴셋

NVISO와 ESET는 다음 도구들이 이번 공격에서 활용되었다고 보고했다:

• BeaverTail — 자바스크립트 정보 탈취
• InvisibleFerret — 파이썬 백도어
• TsunamiKit — 확장 페이로드·지문 수집
• TrophyDoor — 인증 정보 탈취형 모듈
• AkdoorTea — 장기 잠복(backdoor)

이 모든 도구는 서로 연계하여 정상 트래픽 속에 공격 행위를 숨기고 은밀한 장기 침투를 수행하는 특징이 있다.

4️⃣ 탐지 회피 전략 — 정상 서비스 악용이 핵심

공격자는 다양한 정상 서비스를 활용해 탐지를 회피한다:

• JSONkeeper / JSONsilo / npoint (페이로드 저장)
• GitHub / GitLab / Bitbucket (배포·사회공학)
• Pastebin (백업 페이로드 제공)

보안 솔루션은 이러한 트래픽을 대부분 정상 API 호출로 인식하기 때문에 차단 또는 탐지하는 것이 매우 어렵다.

5️⃣ 실제 목적 — 개발자 계정·시스템 탈취 후 광범위 침투

NVISO는 공격의 최종 목표가 다음과 같다고 밝혔다:

• 개발자 계정 탈취(GitHub·GitLab·CI/CD 연계)
• 프로젝트·코드베이스·API 키·토큰 수집
• 암호화폐 지갑 정보 탈취
• 기업 내부망으로의 2차 침투

개발자를 타깃으로 삼는 이유는 CI/CD 환경·서버 인증키·클라우드 API 키 등 고권한 자격증명에 접근할 가능성이 크기 때문이다.

6️⃣ 방어 권고 — 개발자·보안팀이 반드시 체크해야 할 사항

• 의심스러운 Git 프로젝트 다운로드 금지
• .env / config 파일 내부 Base64 문자열 항상 검증
• 개발용 시스템에서도 MFA(다중 인증) 필수
• CI/CD Token·SSH Key·API Key는 주기 회전
• 브라우저 및 확장프로그램의 인증 토큰 보호
• 의심 JSON API 호출 발생 시 네트워크 로그 분석

특히 개발자 환경은 공격자의 1차 진입점이기 때문에 일반 사용자보다 더 강화된 보안 정책이 필요하다.