56초 만에 Chrome 비밀번호 634개 탈취한 정교한 공급망 공격

Context

채용 프로세스를 위장하여 개발자의 로컬 환경에 악성 코드를 실행시키는 Social Engineering 공격 방식임. 신뢰 구축을 위한 가짜 기업 프로필과 실시간 화상 면접을 결합하여 대상자의 경계심을 무너뜨린 사례임.

Technical Solution

• Dependency of a Dependency 구조를 활용한 악성 스크립트 은닉으로 정적 분석 회피
• CPU Architecture 자동 식별 로직을 통한 타겟 맞춤형 페이로드 다운로드 구현
• 커스텀 RC4-encrypted Protocol 기반의 Backdoor를 통한 C2 서버 통신 설계
• macOS Keychain 및 Chrome Password Store 대상의 정밀한 Exfiltration 로직 탑재
• 시스템 부팅 시 자동 실행되는 Persistence 메커니즘 적용으로 지속적 제어권 확보

Impact

• 코드 실행 후 단 56초 만에 Chrome 저장 비밀번호 634개 및 macOS Keychain 탈취

Key Takeaway

신뢰할 수 없는 Third-party Repository의 코드를 로컬 환경에서 실행하는 행위의 위험성을 입증함. 단순한 코드 리뷰를 넘어 의존성 트리 깊은 곳에 숨겨진 실행 스크립트까지 검증하는 Sandbox 환경의 필요성을 시사함.