피드로 돌아가기
실패한 국가 배후 추정 공격 해부
GeekNewsGeekNews
Security

실패한 국가 배후 추정 공격 해부

patch-package와 WASM을 이용한 1.68MB 고밀도 RAT 침투 체인 분석

neo2026년 6월 27일9advanced

Context

개발자의 신뢰 기반 워크플로우를 악용한 정교한 Social Engineering 기반 표적 공격임. TypeScript 패키지 관리 체계와 빌드 프로세스의 맹점을 이용해 백도어를 삽입하고 실행을 유도함.

Technical Solution

  • patch-package를 통한 typescript+5.9.2.patch 파일 내 즉시 실행 스텁 삽입으로 런타임 제어권 획득
  • base64 디코딩 및 XOR(Key: 73) 복호화를 거쳐 new Function()으로 동적 코드 실행
  • git update-index --skip-worktree 명령을 적용하여 수정된 패치 파일의 git status 노출 차단
  • PNG 이미지 파일의 숨은 청크와 WASM 스텁을 활용한 2단계 1.68MB 페이로드 분리 로딩
  • RSA-2048 및 AES-256-CBC 암호화를 통한 C2 통신 보안성 확보 및 탐지 회피
  • obfuscator.io 기반 다중 난독화 계층 적용으로 정적 분석 무력화

- 외부 저장소 복제 후 npm run typecheck, build 등 스크립트 실행 전 patch-package 설정 및 patches/ 디렉터리 무결성 검토 - 신뢰할 수 없는 소스의 WASM 실행 및 이미지 파일 내 비정상적 데이터 청크 포함 여부 확인 - git status에서 나타나지 않는 변경 사항을 식별하기 위해 git ls-files --stage 등을 통한 인덱스 상태 점검 - LLM 생성 징후가 보이는 채용 제안 및 검증되지 않은 VC 기반의 테스트 과제 실행 시 격리된 환경(Sandbox) 사용

원문 읽기