분석 정보885 오픈소스 게임 개발 도구 RenPy로 유포되는 HijackLoader Python 기반의 오픈소스 게임 개발 도구인 RenPy를 악용해 HijackLoader를 유포하는 사례가 발견됐다. RenPy로 제작된 게임은 실행에 필요한 Python 코드와 리소스가 ZIP 파일 형태로 배포되며 공격자는 게임 실행 흐름의 진입점에 해당하는 Script.rpy 파일에 RenEngine Loader라는 악성 스크립트를 삽입했다. 해당 스크립트는 먼저 샌드박스 환경 여부를 점검하고 동일한 ZIP 파일 내에 함께 포함된 HijackLoader를 실행하는 역할을 수행한다. HijackLoader는 모듈형 구조의 악성코드로 최종 페이로드 실행에 필요한 모듈을 복호화 및 로드하는 방식으로 동작한다. 또한 DLL Stomping과 Heaven's Gate 등 다양한 탐지 및 분석 방지 기법이 적용.. 2026. 6. 2. PyPI mistralai 패키지 공급망 침해 분석 지난 달, 잉카 인터넷 AX Security Lab은 TeamPCP 그룹의 LiteLLM 패키지 공격에 대해 소개한 바 있다. 해당 공격이 일어난 후에도 TeamPCP의 공격은 사그라들지 않은 채 계속돼 PyPI, npm 생태계의 패키지를 이용하는 많은 사용자들의 안전을 위협하고 있다. 이번에 발견된 침해 공격은 PyPI mistralai 패키지의 2.4.6 버전이다. 공격자가 유포한 스크립트에는 기존에 발견된 것과 유사한 정보 탈취 기능뿐만 아니라 지리적 정보가 특정 국가에 속할 경우 시스템을 파괴하는 기능이 추가됐다. 해당 패키지 페이지는 문제가 발견된 당일 빠르게 격리됐고, 현재는 문제가 된 버전(2.4.6)의 이전 버전을 배포하며 격리 조치를 해제했다. 이번 공격에 사용된 악성 패키지는 다음과 .. 2026. 5. 19. CPU-Z 공급망 공격 분석 지난 4월, PC 하드웨어, 모니터링 정보를 한눈에 보여주어 많은 사람들이 이용하는 유틸리티 프로그램 CPU-Z 와 HWMonitor를 대상으로 한 공급망 공격이 발견되었다. 이 공격은 두 프로그램의 개발사인 CPUID의 홈페이지를 공격해 다운로드되는 ZIP 파일 내 악성 DLL파일을 추가했다. 사용자가 다운로드한 ZIP 파일 내 정상 파일을 실행하면 DLL Side Loading 에 의해 동봉된 악성 DLL이 로딩돼 추가 페이로드 다운로드, 정보 탈취, C2 명령어 실행과 같은 악성 행위를 실행한다 이 글에서는 공급망 공격을 당한 CPU-Z 파일에 포함된 STX RAT 멀웨어에 대한 분석 내용을 설명한다. 다음 이미지는 CPU-Z 프로그램의 정상 파일 cpuz_x64.exe 가 실행됨에 따라 악성 D.. 2026. 5. 12. Payload 랜섬웨어, ETW 패치로 보안 솔루션 탐지 우회 Payload 랜섬웨어는 올해 2월에 첫 등장한 랜섬웨어로 이 조직은 에너지, 의료 및 통신 업체 등을 대상으로 단 기간에 약 30여곳을 공격해 데이터를 탈취했다고 주장하고 있다. 이 랜섬웨어는 스레드를 생성해 네트워크 드라이브를 포함한 모든 드라이브를 대상으로 암호화를 진행하며 ETW(Event Tracing for Windows) 관련 함수의 주소 부분을 패치해 보안 솔루션의 탐지를 우회한다. 또한 NTFS ADS(Alternate Data Stream)을 이용한 자가 삭제로 실행 흔적을 숨기며 실행 인자값을 설정해 암호화 대상 경로와 병렬 스레드 수 및 ETW 우회 여부 등의 악성 동작 실행을 설정 할 수 있다. 추가로, Payload 랜섬웨어는 2021년에 소스코드가 유출된 Babuk 랜섬웨어의 .. 2026. 4. 24. 해커조직 TeamPCP, LiteLLM PyPI에 악성코드 삽입 2025년 하반기부터 활동이 관찰된 TeamPCP는 클라우드 환경을 주요 표적으로 삼아 공급망 공격을 수행하는 해킹조직으로 기업이 신뢰하는 보안 도구 및 개발 라이브러리를 악용해 악성코드를 유포하는 특징을 보인다. 2025년 12월에는 노출된 Docker와 Kubernetes API 및 Redis 서버를 공격하고 피해 시스템을 프록시 네트워크 및 암호화폐 채굴 인프라로 악용하는 클라우드 인프라 하이재킹 공격이 확인됐다. 이후 2026년 3월에는 Aqua Security의 trivy-action 저장소를 대상으로 한 공급망 공격을 수행해 1만 개 이상의 CI/CD 파이프라인에서 AWS 및 Azure API 키가 유출됐다. 또한 같은 달에는 탈취한 자격 증명을 활용해 npm 생태계에 자가 증식형 웜(Cani.. 2026. 4. 21. ILSpy 홈페이지로 위장한 멀웨어 유포 주의 .NET 프레임워크로 빌드된 실행 파일을 디컴파일하는 툴로 유명한 ILSpy 을 사칭한 홈페이지를 통해 멀웨어가 유포되고 있다. ILSpy 공식 저장소 운영자는 저장소 이슈 글을 통해 해당 도메인(ilspy.org)은 공식 홈페이지가 아니며 멀웨어를 유포하고 있음을 경고했다.ILSpy 저장소 이슈 게시글 링크 : https://github.com/icsharpcode/ILSpy/issues/3709 하지만 현재 구글에서 ILSpy 를 검색하면 악성 도메인 “ilspy.org” 가 여전히 최상단에 노출되고 있으므로 주의가 필요하다. ILSpy 위장 홈페이지공격자가 작성한 악성 도메인 “ilspy.org” 는 마치 ILSpy 공식 홈페이지인 양 프로그램에 대한 설명과 다운로드 링크를 소개하고 있다. “.. 2026. 4. 15. 이전 1 2 3 4 ··· 148 다음
