인기 숏폼 영상 플랫폼 틱톡에는 항상 다양한 챌린지 영상과 필터가 넘쳐난다. 그런데 최근 이를 악용한 사이버 범죄 행위가 발견됐다.

블리핑 컴퓨터는 사이버 보안 기업 체크막스(Checkmarx) 연구팀을 인용, 틱톡에서 영상 속 인물의 신체가 보이지 않도록 하는 ‘인비저블 바디(Invisible Body)’ 필터를 악용한 ‘WASP 스틸러(WASP Stealer)’ 멀웨어 설치 시도 사례 발견 소식을 보도했다.

멀웨어는 사용자의 틱톡 계정 패스워드와 디스코드 계정, 브라우저에 저장된 신용 카드 정보, 암호화폐 지갑, 인비저블 바디 필터 사용자 기기에 저장된 파일 등을 탈취할 의도로 유포됐다.

체크막스 연구팀은 현재 틱톡에서 활동 정지된 계정인 @learncyber와 @kodibtc가 인비저블 바디 필터를 홍보할 의도로 영상을 게재한 사실을 발견했다. 멀웨어 유포 세력은 인비저블 바디 필터를 무료로 제공한다고 주장하며, 디스코드 서버 ‘스페이스 언필터(Space Unfilter)’ 접속을 유도했다.

멀웨어 유포 세력이 홍보한 디스코드 서버에 접속하면, WASP 스틸러 멀웨어를 숨긴 깃허브 저장소로 접속을 유도하는 봇이 등장한다.

체크막스 연구팀은 현재 멀웨어 유포 세력이 디스코드로 활동 무대를 옮긴 상태이며, 스페이스 언필터 서버에 한 번에 최고 3만 2,000명이 접속했다고 전했다. 이후 WASP 스틸러 멀웨어를 숨긴 깃허브 저장소는 ‘트렌딩 깃허브 프로젝트(trending GitHub project)’에 이름을 올렸으며, 이후 저장소 이름이 바뀐 것으로 확인됐다.

프로젝트는 윈도 배치 파일(.bat)을 포함하며, 실행 시 피해자 기기에 악성 파이썬 피키지(WASP 다운로더)와 틱톡 언필터 툴 설치 방법을 안내하는 유튜브 영상 링크를 포함한 리드미(ReadMe) 파일을 설치한다.

연구팀은 멀웨어 유포 세력이 ‘tiktok-filter-api’, ‘pyshftuler’, ‘pyiopcs’, ‘pydesings’ 등을 포함해 PyPI에 호스팅된 파이썬 패키지 여러 개를 동원했다고 전했다. 여기에 PyPI에서 스타재킹(StarJacking) 기법도 함께 동원해, WASP 스틸러 멀웨어 프로젝트를 깃허브 인기 프로젝트와 연결하여 피해자가 의심하지 않도록 했다.

체크막스 연구팀은 보고서를 통해 “WASP 스틸러 멀웨어 유포 작전이 지금도 진행 중인 것으로 보인다. 파이썬 보안팀이 WASP 스틸러 멀웨어 패키지를 삭제할 때마다 멀웨어 유포 세력이 악성 패키지를 즉시 변경하고는 새로운 신원 정보나 패키지 명칭을 사용해 다시 유포한다”라며, “이번 사례는 사이버 공격 세력이 오픈소스 패키지 생태계에 주목하기 시작했음을 의미한다. 오픈소스 패키지를 동원한 사이버 공격 추세는 2023년에 더 확산될 전망이다”라고 경고했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]