보안 전문 기업 브카브 그룹(Bkav Group)은 수만 대의 프로그래머 컴퓨터가 글래스웜(GlassWorm)에 감염된 것으로 추정하고 있습니다. 이 공격은 연쇄 반응을 일으켜 해커들이 이러한 기기를 발판 삼아 기업 내부 네트워크에 침투하고, 소스 코드를 조작한 후, 자동으로 바이러스를 복제하여 베트남을 포함한 전 세계 소프트웨어 공급망 전체에 기하급수적으로 확산시켰습니다.
이번 공격 캠페인은 소프트웨어 취약점을 직접 악용하는 데 초점을 맞추지 않았습니다. 대신, 해커들은 탈취한 계정과 접근 토큰을 사용하여 프로그래머들이 코드 저장소와 소프트웨어 유틸리티 플랫폼에 공유한 정상적인 소스 코드에 악성 코드를 삽입했습니다.
악의적인 변경은 합법적인 계정을 가장하거나, 작성자, 내용, 기여 시간 등의 소스 코드 업데이트(커밋) 기록 정보를 합법적인 업데이트와 유사하게 위장하여 이루어지기 때문에 시각적 또는 사전 검사를 통해 감지하기 어렵습니다.
"해커들은 코드 내의 '보이지 않는' 유니코드 문자에 악성 명령어를 직접 삽입하여, 겉보기에는 비어 있는 텍스트 줄을 은밀한 공격 도구로 탈바꿈시킵니다. 육안으로 보거나 사전 검사를 할 때는 코드가 완전히 정상적으로 보입니다. 이 때문에 프로그래머와 기존 테스트 도구 모두 이상 징후를 감지하기 어렵습니다."라고 Bkav의 악성코드 전문가인 Nguyen Dinh Thuy는 말했습니다.
GlassWorm은 소스 코드 저장소에 악성코드를 주입하는 것 외에도 일부 공격 방식에서 자동 검증 시스템을 우회하기 위해 "숨겨진" 유니코드 문자 삽입 기법을 사용합니다. 쉽게 탐지 및 차단되는 기존 서버 대신, 이 공격 캠페인은 솔라나 블록체인 네트워크를 악용하여 제어 명령을 저장하고 전송합니다. 이로 인해 해커의 시스템은 분산화되어 차단하기가 매우 어려워집니다. 동시에, 이 악성코드는 최소 6개의 C2 서버 IP 주소를 번갈아 사용하며 통신을 유지하고 활동을 숨깁니다.
활성화되면 이 악성코드는 암호화폐 지갑, SSH 보안 키, 접근 인증 코드, 프로그래머 시스템 정보와 같은 민감한 데이터를 탈취하여 조직 시스템 전반에 침투합니다. 특히, 이 공격은 개발 도구, 확장 프로그램 또는 악성코드가 포함된 종속 코드 세그먼트를 통해 프로그래머의 일상적인 업무 환경으로 확산되었습니다.
베트남에서는 GitHub, npm과 같은 플랫폼이 웹 및 모바일 애플리케이션부터 기업 시스템에 이르기까지 제품 개발에 널리 사용되고 있습니다. 만약 인기 있는 라이브러리에 악성코드가 감염될 경우, 프로그래머들이 사용하는 종속성을 통해 수많은 국내 소프트웨어 프로젝트와 기업 시스템으로 위험이 확산될 수 있습니다. Bkav는 프로그래머와 기술 조직에 다음과 같은 조치를 권고합니다. 새로운 업데이트를 통한 교차 감염을 방지하기 위해 라이브러리와 확장 프로그램의 버전을 고정하고 자동 업데이트를 비활성화하십시오. 자동화된 코드 스캔 도구를 IDE 또는 CI/CD 시스템에 직접 통합하여 지속적인 스캔을 수행하고 난독화된 코드나 숨겨진 문자를 조기에 탐지하십시오. 소스 코드 저장소에는 다단계 인증(MFA) 및 최소 권한 원칙을 의무화하고, 중요 브랜치에서는 강제 푸시 기능을 비활성화하십시오. 모든 엔드포인트에 전문 안티바이러스 소프트웨어를 설치하고, 고급 EDR/XDR 솔루션을 결합하여 이중 방어 체계를 구축하고, 특히 파일 기록을 남기지 않는 은밀한 악성코드를 효과적으로 차단하십시오.
출처: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[사진] 비엔호아-붕따우 고속도로 개통 전 모습.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
댓글 (0)