<aside> 🚫 안내 사항
위험도: 심각(Critical) 🔴
작성자: 한국인터넷진흥원 위협분석단 AI종합분석팀
작성일: March 11, 2026
IT 관리자 및 개발자가 일상적으로 사용하는 유틸리티 프로그램으로 위장한 악성코드가 GitHub를 통해 유포되고 있다. 공격자는 검색엔진 최적화(SEO)를 통해 Google, Bing 등 주요 검색엔진에서 악성 Github 저장소를 상위에 노출시키고 있으며, 이로 인해 해당 도구를 검색한 사용자가 정상 소프트웨어로 오인하여 손쉽게 다운로드·실행하게 되면서 악성코드에 감염되는 피해가 발생하고 있다.
검색엔진에 상위노출된 악성 Github 저장소 페이지
한번 상위노출된 github 페이지는 링크 삽입을 통해 재활용
특히, 해당 위장 소프트웨어는 IT 실무 환경에서 범용적으로 사용되는 도구인 만큼 국외뿐만 아니라 국내에서도 피해가 확인되고 있어 각별한 주의가 필요하다.
공격자는 동일한 악성코드 빌더를 사용하여 다양한 도구명으로 MSI 설치 파일을 대량 생성하고, 블록체인(이더리움) 스마트 컨트랙트를 C2 통신 채널로 활용하여 탐지 및 차단이 극히 어려운 구조를 갖추고 있다.
공격자는 IT 운영·개발 환경에서 빈번하게 검색되는 도구들을 선별하여 위장하고 있으며, 확인된 위장 대상은 다음과 같다.
| 빌드 일시 | 위장 소프트웨어 | Github 레파지토리 | 실제 용도 |
|---|---|---|---|
| 2026-02-17 | Tftpd64 (TFTP/DHCP 서버) | - | 네트워크 관리 |
| 2026-02-17 | Postman (API 테스트 도구) | - | 개발 |
| 2026-02-23 | Tftpd64 (TFTP/DHCP 서버) | - | 네트워크 관리 |
| 2026-03-09 | Tftpd64 (TFTP/DHCP 서버) | tftup/TFTPD64 | 네트워크 관리 |
| 2026-03-10 | Tftpd64 (TFTP/DHCP 서버) | tftup/TFTPD64 | 네트워크 관리 |
| 2026-03-10 | WinDbg (Windows 디버거) | dbgwn/WinDbg, symdbg/WinDbg | 시스템 디버깅 |
| 2026-03-10 | PsExec (원격 실행 도구) | psxwin/PsExec | 시스템 관리 |
| 2026-03-10 | USMT (사용자 상태 마이그레이션) | userstate/USMT | OS 마이그레이션 |
| 2026-03-10 | IntuneWinAppUtil (Intune 패키징) | intutil/IntuneWinAppUtil, ntukit/IntuneWinAppUtil | 엔드포인트 관리 |
| 2026-03-10 | BgInfo (바탕화면 정보 표시) | bgcfg/BgInfo, winlabel/BgInfo | 서버 관리 |
| 2026-03-10 | RDCMan (원격 데스크톱 관리자) | rdpmgr/RDCMan, rdc-mgr/Remote-Desktop-Connection-Manager | 원격 관리 |
위장 소프트웨어가 Sysinternals, Microsoft 공식 도구, 네트워크/개발 도구 등 IT 실무자가 가장 자주 검색하는 소프트웨어에 집중되어 있어, 감염 대상이 기업 내부 인프라에 접근 권한을 가진 관리자일 가능성이 높다.
1. [공격자] Github에 가짜 저장소 생성 (예: tftpkit/TFTPD64, rdpmgr/RDCMan, psxwin/PsExec 등 다수)
↓
2. [SEO] 검색엔진 최적화로 Google/Bing 검색 상위 노출
↓
3. [피해자] "download tftpd64", "download psexec github" 등 검색
↓
4. [다운로드] 정상 도구로 오인하여 MSI 설치 파일 실행
↓
5. [감염] 백그라운드에서 Node.js 기반 봇 설치 → 6. C2 연결 → 7. 내부확산 및 정보유출