□ 개요
○ IT 관리자·개발자를 대상으로 유틸리티 도구로 위장한 악성코드가 GitHub를 통해 유포되고 있어 이용자 주의 권고
* GitHub : 소스코드 저장소 제공 및 관리 서비스
□ 주요 내용
○ 공격자는 IT 실무 환경에서 빈번하게 사용되는 유틸리티 프로그램(WinDbg, PsExec, Tftpd64 등)으로 위장한 악성 MSI 설치 파일을 GitHub에 유포
○ 검색엔진 최적화(SEO)를 악용하여 Google, Bing 등 주요 검색엔진 상위에 악성 저장소를 노출시켜, 이용자가 정상 소프트웨어*로 오인하여 다운로드·실행하도록 유도
* 위장대상 : Tftpd64 / Postman / WinDbg / PsExec / USMT / IntuneWinAppUti / BgInfo / RDCMan
□ 감염 징후 확인 방법
○ 파일시스템 : %LOCALAPPDATA% 하위 랜덤 6자 디렉토리 및 비정상 node.exe 존재 여부 확인
○ 레지스트리 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run에 랜덤키가 등록되어 있고 node.exe로 .cfg/.ini 파일을 실행하는 명령 존재 여부 확인
○ 프로세스 : msiexec.exe → cmd.exe → node.exe 프로세스 체인 또는 %LOCALAPPDATA% 경로에서 node.exe 실행 여부 확인
○ 네트워크 : 이더리움 RPC 엔드포인트(rpc.mevblock[.]io, eth.llamarpc[.]com 등)로의 비정상 HTTPS 요청 및 X-Bot-Server 커스텀 헤더 포함 요청 탐지
□ 대응방안
○ 첨부된 헌팅 가이드 보고서를 참고하여 자체 점검 후, 침해사고 정황 확인 시 즉시 신고
'보안소식' 카테고리의 다른 글
| [CVE-2026-21708] Veeam 제품 보안 업데이트 권고 (0) | 2026.05.04 |
|---|---|
| [CVE-2026-30951] sequelize 제품 보안 업데이트 권고 (0) | 2026.05.04 |
| MS 3월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2026.05.04 |
| [CVE-2026-27944] NGINX 제품 보안 업데이트 권고 (0) | 2026.05.04 |
| [CVE-2026-20079] Cisco 제품 보안 업데이트 권고 (0) | 2026.05.04 |