* 출처는 안랩입니다.
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 Github 저장소를 통해 SmartLoader 악성코드가 다수 유포되고 있는 정황을 확인하였다. 해당 저장소들은 정상적인 프로젝트로 위장해 정교하게 제작되었으며, 주로 게임 핵, 소프트웨어 크랙, 자동화 도구 등의 주제를 활용하여 사용자들의 관심을 끌고 있다. 저장소에는 README 파일과 압축 파일이 포함되어 있으며, 압축 파일 내부에 SmartLoader 악성코드가 존재한다.
- SmartLoader 유포 주소
hxxps://github[.]com/[공격자계정]/Maple-Story-Menu/releases/download/v3.2.0/Maple.Story.Menu.v3.2.0.zip
hxxps://github[.]com/[공격자계정]/Minecraft-Vape-Client/releases/download/v1.3.1/Minecraft.Vape.Client.v1.3.1.zip
hxxps://github[.]com/[공격자계정]/ms-rewards-automation/releases/download/v1.8.1/ms-rewards-automation.v1.8.1.zip
hxxp://github[.]com/[공격자계정]/ddos-protection/releases/download/uncork/ddos-protection-uncork.zip
hxxp://github[.]com/[공격자계정]/strongvpn/releases/download/pseudobrotherly/strongvpn_pseudobrotherly.zip
hxxp://github[.]com/[공격자계정]/VSDC-Video-Editor-Pro-Crack/releases/download/2.3.3/vsdc-video-editor-pro-crack-2.3.3.zip
hxxp://github[.]com/[공격자계정]/Instagram-Followers-Booster-v2.4.5/releases/download/v1.3.6/instagram-followers-booster-v2.4.5-v1.3.6.zip
hxxps://github[.]com/[공격자계정]/Call-of-Duty-Modern-Warfare-3-MW3-Hack-Cheat-Aimbot-Esp-Unban-Hwid-Unlocks-GunLVL/releases/download/desertless/Desertless.zip
hxxps://github[.]com/[공격자계정]/MCP-Manager-GUI/releases/download/v1.6.1/MCP.Manager.GUI.v1.6.1.zip
hxxp://github[.]com/[공격자계정]/Project-Zomboid-Hack/releases/download/scholae/project-zomboid-hack-scholae.zip
hxxps://github[.]com/[공격자계정]/portfolio/raw/refs/heads/main/Software.zip
게임 핵, 소프트웨어 크랙, 자동화 도구 등의 관련 키워드를 검색할 경우, SmartLoader 악성코드가 포함된 Github 저장소가 검색 결과 상단에 노출되고 있어 사용자가 쉽게 접근할 수 있는 것을 확인할 수 있다.
[그림 1] Google 검색 결과 SmartLoader 유포지가 상단에 노출되는 모습
정상적인 프로젝트를 위장한 Github 저장소에는 README 파일 및 프로젝트 관련 파일들이 포함되어 있다. README 파일에는 프로젝트의 개요, 목차, 주요 기능, 설치 및 사용 방법 등이 그럴듯하게 작성되어 있어 일반 사용자가 악성코드 유포지로 인식하기 어렵다. 사용자는 안내된 설치 방법을 따라 압축 파일을 다운로드하게 되며, 해당 파일에는 악성코드가 포함되어 있다.
[그림 2] 정상 프로젝트를 위장한 Github 저장소 (1)
[그림 3] 정상 프로젝트를 위장한 Github 저장소 (2)
[그림 4] 압축 파일 내부
다운로드된 압축 파일에는 총 4개의 파일이 포함되어 있으며, 각 파일의 기능은 아래와 같다.
- 파일 기능
java.exe : Lua 로더 실행 파일인 luajit.exe (정상)
Launcher.cmd : module.class 를 인자로 java.exe 를 실행하는 배치 파일 (악성)
lua51.dll : Luajit 런타임 인터프리터 (정상)
module.class : 난독화된 Lua 스크립트 (악성)
* 전체내용은 아래에서 확인하세요.
https://asec.ahnlab.com/ko/89498/
![[출석 인증] 하루 이틀 하다 보니 2,000일 연속 출석이네요.](https://img.danawa.com/images/attachFiles/6/879/5878047_1.jpg?fitting=Large|320:240&crop=320:240;*,*)
![[주간 랭킹] 10위](https://img.danawa.com/images/attachFiles/6/879/5878008_18.png?fitting=Large|320:240&crop=320:240;*,*)
가
전
![[주간랭킹] 지난 주 다나와 주간활동순위는 전주 대비 2계단 하락한 8위네요.](https://img.danawa.com/images/attachFiles/6/879/5878114_18.png?fitting=Large|320:240&crop=320:240;*,*)
![[주간랭킹] 이번주는 3위네요.](https://img.danawa.com/images/attachFiles/6/879/5878198_18.png?fitting=Large|320:240&crop=320:240;*,*)
