개발자가 당한 정교한 AI 기반 해킹 사건 분석

내가 지금까지 마주한 가장 정교한 해킹에 완전히 당해버렸어.

나는 개발자야. 사기꾼들이 어떻게 보이는지 알아.
이건 그런 것처럼 보이지 않았어.

모든 게 프론트엔드 역할에 대해 연락을 해온 리크루터로 시작됐어요.

별로 이상한 일도 아니죠. 이런 연락은 매일 받거든요.
보통은 무시하거나 — 취약점이 어디에 숨겨져 있는지 알아내려고 잠깐 장난을 쳐보곤 해요.

하지만 이건 진짜 웹사이트가 있었어요. 진짜 팀 페이지가요. 이름이 붙은 진짜

첫 번째 통화는 그들의 HR과 함께였습니다.

평범한 대화였습니다. 역할, 회사 비전, 보상 등에 대해 이야기했습니다.
아무것도 이상하게 느껴지지 않았습니다.
AI 음성 오류도 없었고, 이상한 지연도 없었습니다. 진짜 인간의 에너지가 느껴졌습니다.

나는 다음 단계로 진행하기로 동의했습니다.

두 번째 라운드는 두 명의 엔지니어와의 기술 인터뷰였습니다.

우리는 기술 스택, 아키텍처 결정, 흥미로운 도전 과제에 대해 이야기했습니다.
좋은 대화였습니다. 실제로 즐길 수 있는 그런 종류의 대화요.

그들 중 한 명은 회사 웹사이트에 등재되어 있었습니다.
사진이 일치했습니다. 이름도

통화 끝에 그들이 말했습니다:
"다음 단계로 넘어가고 싶습니다. 작은 코딩 챌린지입니다."

그들은 나에게 GitHub 저장소를 주고 5-10분 동안 살펴보라고 했습니다.

백엔드 코드. 파일은 몇 개뿐. 수상한 점 없음.
충분히 간단합니다.

인터뷰 중에 우리는 최근 개발자들을 노리는 가짜 구인 사기가 얼마나 많은지에 대해 이야기했다.

우리는 그에 대해 웃었다. 그들은 나만큼이나 잘 알고 있는 것 같았다.

뛰기 전에 내가 수상한 점이 있는지 확인하겠다고 말했다.

그들은 미소 지었다. "백도어를 찾아봐도 돼."

그 한 줄은 의도적이었다.
내 방어벽을 정확히 내가 가장 필요로 할 때 낮췄다.

나는 코드를 실행했다.

나를 구한 유일한 것은 macOS 팝업이었다:
"
http://
patch.sh
wants to run as a background process."

나는 즉시 WiFi를 끊고 조사를 시작했다.

대부분의 사람들은 두 번 생각하지 않고 허용 버튼을 클릭했을 것입니다.

며칠에 걸쳐 신뢰를 쌓아온 사람들과의 화면 공유에서 두 차례 인터뷰를 거친 후라면요?

당신은 그들을 신뢰합니다.
그게 바로 그들이 기대했던 겁니다.

공격은 의존성의 의존성 안에 숨겨져 있었다.

리포지토리 자체는 깨끗했다.
winston-middleware — 로깅 패키지. 따분하다. 평범하게 들린다.
그것은 하나의 숨겨진 의존성을 가지고 있었다: next-runtimejs.

그곳이 무기가 있던 곳이었다.

프로젝트를 실행하는 순간, 백그라운드에서 쉘 스크립트가 조용히 실행되었다.

프롬프트 없음. 경고 없음. 아무 문제도 없다는 표시조차 없었다.

그것은 Go로 작성된 백도어를 다운로드하고, 모든 부팅 시 자동 시작되도록 등록했다.

이건 단순한 스크립트 키디 도구가 아니었습니다.

전문적으로 작성된 Go 프로그램.
커스텀 RC4 암호화 프로토콜.
셸 실행, 파일 도난, Chrome 비밀번호 추출, Keychain 유출, 그리고 암호화폐 지갑 타겟팅을 위한 명령어들.

누군가 이걸 진지하게 만들었습니다.

저는 1분 안에 인터넷을 뽑았습니다.

하지만 그 1분 동안 그들은 다음을 수집했습니다:
— 634개의 저장된 Chrome 비밀번호
— 제 macOS 키체인 (이 비밀번호들을 해독하는 열쇠를 보유하고 있음)
— 제 MetaMask 지갑 데이터

로그인 프롬프트 없음. 클릭 없음. 그들은 모든 것을 가지고 있었습니다.