악성 NPM 패키지 활용, 새로운 피싱 공격 등장!

최근 정상 CDN서비스에 악성 NPM 패키지를 악용한 피싱 공격이 등장했다. 새로운 피싱 공격에 피해를 입지 않도록 이용자들의 각별한 주의가 필요하다. 

피싱 공격은 악성 HTML 파일이 첨부, 이메일을 통해 유포됐다. 피싱 메일은 사용자에게 원드라이브로 공유한 주문서 확인을 요청하며, 첨부파일 실행을 유도한다. 

사용자가 첨부된 HTML 파일을 실행하면 악성 NPM 패키지의 자바스크립트 파일이 실행된다. 

NPM 패키지는 "Node Package Manager"의 약자로, Node.js 환경서 자바스크립트 패키지를 관리, 설치하는 도구다. jsDelivr CDN은 NPM 패키지와 깃허브 등 오픈 소스 파일을 무료로 호스팅 할 수 있는 CDN 서비스다. 

자바스크립트 파일은 내부에 난독화된 코드를 복호화하고, 공격자가 설정해둔 피싱 URL서 콘텐츠를 불러와 피싱 화면으로 사용자를 속인다.

피싱 화면은 마이크로소프트 원드라이브 사이트로 위장했다. 실제 파일이 업로드 된 것처럼 사용자를 속였다. 

사용자가 피싱 화면에 표시된 파일들을 다운로드 하거나, 프리뷰 등을 클릭하면 마이크로소프트 계정 로그인 화면을 띄운다. 패스워드 입력을 유도, 계정정보를 탈취한다.

이스트시큐리티는 "이번 공격은 정상적인 CDN 서비스를 통한 NPM 패키지 전달과 정교한 탐지 회피 수법이 사용됐다"며 "피싱 공격이 점점 고도화되고 있다"고 우려했다. 이어 "피싱 기법의 정교함에 따라, 위협을 조기에 식별하고 사전 탐지와 방어 체계 고도화가 필요하다"고 당부했다. 

Related Materials

• 국내·외 피싱(Phishing) 대응 현황 및 시사점 : 미국·EU·영국·독일·일본·중국 중심으로, 2024년
• State of the Internet: Financial Services Trends 2024 - Akamai, 2024년
• 2024 State of the Phish Report: Phishing Statistics & Trends - Proofpoint, 2024년

MS의 ‘앱 간 상호작용 활성화’ 기술, 코요테 공격자가 악용

💡Editor’s Pick - MS의 UIA라는 프레임워크, 공격에 활용 가능 - 원래는 이론상 개념이었으나, 누군가 실제로 구현 - 코요테라는 뱅킹 멀웨어가 이 방식으로 퍼짐 MS 셰어포인트가 최근 전 세계 보안 전문가들의 주목을 받고 있는 가운데, MS의 ‘UI 자동화(UI Automation, UIA)’ 프레임워크를 악용하는 새 공격 기법이 발견됐다. 보안 업체 아카마이(Akamai)

The Tech EdgeJustAnotherEditor

“MS 계정 탈취 피싱, 기존과 다른 수법이 떴다”

💡Editor Pick - ‘제품 구매 확인 메일’로 위장 접근...실제 기업 웹사이트 URL 활용 - 첨부파일 엑셀로 착각하도록 속이고, 2013년 등록된 12년차 도메인 활용 구매 주문 확인으로 위장한 피싱 메일이 포착돼 이용자의 주의가 요구된다. 피싱 메일은 특정 기업 관계자로 위장해, 제품 구매 확인을 빌미로 첨부 파일 열람을 요청했다. 메일 전문

The Tech EdgeCheifEditor

MS 등 유명 브랜드 도메인 악용한 정보 탈취 악성코드 기승

💡Editor Pick - ACR스틸러 악성코드, 탐지 회피와 분석 방해 기법 대거 적용 - 마이크로소프트, 페이스북 등 글로벌 유명 도메인 악용 최근 새롭게 변형된 버전 악성코드 ACR스틸러(ACRStealer)가 활발히 유포되고 있다. 정보 탈취가 주무기인 이 악성코드는 탐지 회피와 분석 방해 기법을 대거 적용한 게 특징이다. 특히 새로운 기능을 추가하며 변형이

The Tech EdgeCheifEditor