새로운 NPM 악성코드가 Windows 시스템에서 Chrome 웹 브라우저에서 저장된 비밀번호를 훔치는 것으로 밝혀졌습니다.

이 악성코드는 공격자의 C2 서버와 통신하고 화면 및 카메라 액세스, 디렉터리 목록·파일 조회, 파일 업로드 및 셸 명령 실행과 같은 기능을 제공합니다.

ChromePass 도구 사용해 Chrome 비밀번호 탈취

보안 회사 ReversingLabs의 연구원은 Chrome 웹 브라우저에서 비밀번호를 탈취하는 두 개의 악성 NPM 패키지를 공개했습니다.

- nodejs_net_server - 총 1,300개 이상의 다운로드
- temptesttempfile - 총 800개 이상의 다운로드

이 악성 NPM 패키지는 기계 학습 알고리즘을 사용하는 ReversingLabs의 Titanium Platform 정적 분석 엔진에 의해 발견되었습니다.

"nodejs_net_server"는 Windows 시스템을 대상으로 하며, 사용자의 비밀번호를 훔치고 공격자가 지속해서 공격할 수 있도록 원격 백도어를 설정합니다.

"nodejs_net_server"는 Windows용 ChromePass 프리웨어 유틸리티를 사용합니다.

ChromePass는 사용자의 Chrome 웹 브라우저에서 비밀번호를 복구하기 위한 Windows용 비밀번호 복구 도구입니다.

[그림 1] ChromePass 비밀번호 복구 유틸리티(출처:NirSoft)

"nodejs_net_server" 악성 NPM 패키지에는 a.exe를 통해 ChromePass 비밀번호 탈취 도구를 다운로드하는 스크립트가 발견되었습니다. 또한 ChromePass 실행 파일은 VirusTotal 평판 조회 결과 악성으로 판단되었습니다.

"nodejs_net_server"는 현재까지 12개 버전이 게시됐으며 최신 버전 1.1.2의 압축되지 않은 파일 크기는 약 40MB입니다.

이후 버전에서는 악성코드 탐지를 우회하기 위해 TeamViewer.exe를 실행하는 것으로 나타났습니다.

지속적인 활동 위해 NPM 구성 옵션 남용

지금까지의 악성 NPM 패키지는 오타나 공급망 공격을 통해 개발자를 감염시켰지만 이번 악성코드의 경우는 그렇지 않아서 어떻게 많은 다운로드 수를 기록했는지는 밝혀지지 않았습니다.

[그림 2] NPM의 nodejs_net_server 다운로드 페이지(출처:BleepingComputer)

개발자가 악성 패키지를 설치하자마자 잘 알려진 NPM 구성 옵션인 "bin"을 악용해 Windows 시스템에서 지속성을 얻으려고 시도합니다 .

"package.json" 파일에 지정된 NPM 패키지의 구성 옵션인 JavaScript 실행파일을 설치하는 데 사용되는 "bin" 옵션을 이용해 "jstest"의 실행을 하이재킹하여 악성코드를 실행하도록 합니다. 단, 개발자 컴퓨터에 "jstest"가 사전 설치되어 있어야 합니다.

"jstest"는 현재까지 36,000번 이상 다운로드된 크로스 플랫폼 JavaScript 테스트 프레임워크입니다. 즉, NodeJS 개발자는 "jstest"를 사용할 가능성이 높습니다.

[그림 3] nodejs_net_server용 package.json (BleepingComputer)

"jstest"는 악성 패키지가 감염된 시스템에서 지속해서 공격을 하는데 도움이 되는 것이지 "jstest"가 사전 설치되어 있지 않다고 해서 악성 패키지가 실행되지 않는 것은 아닙니다.

악성 패키지에 의해 로드된 "jstest" 파일은 기존 "jstest" 심볼릭 링크의 내용을 덮어쓰려고 시도하고, 지속적으로 실행될 Windows 서비스로 다른 JS 파일("test.js")을 추가합니다.

[그림 4] 악성 NPM 패키지는 lib/test.js 스크립트를 Windows 서비스로 추가해 지속성 확보 시도(출처:BleepingComputer)

새로 추가된 Windows 서비스는 공격자와 통신하고 아래와 같은 악성 활동을 수행할 수 있도록 7353 포트를 엽니다.

- 역 IP 조회 및 포트 구성
- 디렉터리 목록 및 파일 조회
- 파일 업로드 및 검색
- 쉘 명령 실행
- 번들로 제공되는 ffmpeg 실행 파일을 통한 화면 및 카메라 액세스 및 녹화
- 번들로 제공되는 ChromePass 복구 유틸리티를 사용하여 Chrome 브라우저에서 비밀번호 도용

[그림 5] 악성 NPM 패키지가 7353 포트를 개방(출처:BleepingComputer)

한편 "nodejs_net_server"의 일부 버전에는 악성 패키지 작성자의 실수로 Chrome에서 복구한 공격자의 사용자 이름과 비밀번호가 담긴 텍스트 파일이 발견되었습니다.

NPM 저장소에 게시된 버전 1.1.1 및 1.1.2에는 작성자의 개인용 컴퓨터에서 ChromePass 도구를 테스트한 결과가 포함된 것으로 보입니다.

보안 회사 ReversingLabs의 Karlo Zanki는 블로그에서 "이 로그인 비밀번호는 'a.exe'라는 암호 복구 도구와 동일한 폴더에 있는 'a.txt' 파일에 저장되었습니다."라고 밝혔습니다.

[그림 6] 악성 NPM 패키지에는 멀웨어 작성자의 것으로 여겨지는 암호 목록이 포함됨(출처: BleepingComputer)

[참고자료]
https://www.bleepingcomputer.com/news/security/npm-package-steals-chrome-passwords-on-windows-via-recovery-tool/

보안관제센터 Team MIR