Jaccard Similarity 및 Artifact 분석을 통한 GitHub Botnet 탐지

Context

교차 팔로우 탐지를 회피하는 정교한 GitHub Botnet의 활동 패턴 분석. 단순 계정 생성을 넘어 대규모 저장소를 자동 생성하는 정형화된 파이프라인의 흔적 식별.

Technical Solution

• Jaccard Similarity 분석을 통해 팔로잉 리스트 유사도 0.99 이상의 계정 9개를 클러스터링한 이상 징후 탐지
• README 내 숨겨진 HTML Comment의 Timestamp와 Job ID를 분석하여 34분 만에 552개 저장소를 생성한 동시성 기반 배포 구조 파악
• Job ID의 비순차적 패턴을 통해 단일 프로세스가 아닌 Job Queue 기반의 분산 워커(Multiple Workers) 아키텍처 추론
• 모든 저장소의 README 내 LICENSE URL이 특정 계정(mariwatts)으로 하드코딩된 Template Substitution Error를 통한 동일 생성기 확인
• fallback_ 접두어 분석을 통해 주 생성 경로 실패 시 정적 템플릿을 대체하는 Template Generation System의 동작 방식 식별
• [Word][Suffix] 패턴의 저장소 명명 규칙과 기능 없는 Stub 코드 구조를 통한 AI 기반 자동 생성 파이프라인 증명