최근 한 캐나다 개발자가 가짜 벤처캐피탈(VC) 면접 제안에 속아 넘어갈 뻔한 정교한 사이버 공격 사례가 공개되었습니다. 공격자는 'Lua Ventures'라는 가상의 VC 소속 인물로 위장해 접근했으며, 구글 미트(Google Meet) 화상 통화까지 진행하며 신뢰를 쌓았습니다. 이후 '테스트 과제' 명목으로 악성 코드가 숨겨진 깃허브(GitHub) 저장소를 제공, 개발자의 시스템에 원격 접근 트로이목마(RAT)를 설치하려 시도했습니다.
이 공격은 개발자의 업무 환경과 워크플로우를 면밀히 분석한 흔적이 역력합니다. 공격자는 'Ticket Harbor'라는 가짜 타입스크립트(TypeScript) 앱 저장소를 미끼로 사용했는데, `patch-package`와 `typescript+5.9.2.patch` 파일을 교묘하게 조작하여 타입스크립트 실행 경로에 악성 코드를 삽입했습니다. 이 코드는 난독화된 여러 단계를 거쳐 최종적으로 1.68MB 크기의 'PinpinRAT'이라는 2단계 페이로드를 실행합니다. PinpinRAT은 RSA-2048 및 AES-256-CBC 암호화를 사용하며, 호스트 지문 수집, 파일 업로드/다운로드, 프로세스 실행, 파일 시스템 조작, DNS 질의, 자가 제거 등 광범위한 원격 제어 기능을 갖추고 있습니다. 공격자는 `git update-index --skip-worktree` 명령으로 패치 파일을 숨기고, 실행 후 흔적을 지우는 등 탐지를 피하기 위한 치밀한 설계를 보였습니다.
이번 사건은 단순한 피싱을 넘어, 개발자 커뮤니티를 노린 고도화된 공급망 공격의 일종으로 볼 수 있습니다. 가짜 VC, 그럴듯한 링크드인(LinkedIn) 프로필, 심지어 실제 활동 중단된 회사를 언급하는 등 사회공학적 기법이 매우 정교했습니다. 특히, 개발자라면 흔히 사용하는 패키지 관리자나 빌드 스크립트를 악용했다는 점에서 경각심을 불러일으킵니다. 만약 해당 저장소를 실행했다면 즉시 네트워크를 끊고 다른 기기에서 모든 자격 증명을 교체해야 하며, 쿠키와 비밀번호 등 민감 정보가 탈취되었을 가능성을 전제로 대응해야 합니다. 이는 개발자들이 외부 프로젝트나 채용 제안을 접할 때 더욱 철저한 검증과 보안 의식을 가져야 함을 시사합니다.