최근 Github에서 VSCode(Visual Studio Code)의 자동화 기능을 악용한 악성코드를 다수 확인하였다. 분석 결과 Contagious Interview 캠페인에 사용되는 악성코드로, 최소 2025년 8월부터 캠페인이 시작된 것으로 확인되었다.Contagious Interview 캠페인은 주로 개발자를 대상으로 악성코드를 유포하는 북한 배후 공격 그룹의 캠페인이다. Contagious Interview 캠페인에서 공격자는 주로 채용 담당자로 위장해 개발자에게 접근하고, 코딩 테스트 혹은 화상 면접 등을 빌미로 Beavertail, InvisibleFerret, OtterCookie 등의 악성코드를 다운로드하도록 유도한다.이번에 확인된 Github 계정은 실제로 존재하는 기업의 채용 담당자, Web3 개발자, 가상 기업으로 위장한 것으로 확인되었다. 이를 통해 공격자는 정상적인 채용 및 개발 활동으로 위장해 신뢰도를 확보하고, 악성코드 유포를 시도한 것으로 판단된다.또한 유포에 사용된 악성코드 분석 결과, 사람이 직접 작성한 코드가 아닌 생성형 AI(LLM)를 활용해 작성된 것으로 추정되는 정황이 확인되었다. 이는 공격자가 악성 도구 제작 과정의 효율성을 제고하고, 코드 분석을 어렵게 하기 위해 AI 기술을 적극적으로 활용하고 있음을 시사한다.본 글에서는 이번 공격에 사용된 악성코드의 동작 방식과 기능을 분석하고, 공격자가 활용한 Github 계정의 활동 내역을 다룬다.

EtherRAT 악성코드는 sysdig의 블로그를 통해 최초로 보고된 자바스크립트 기반 악성코드이다. 해당 악성코드는 React2Shell 취약점(CVE-2025-55182)을 통해 리눅스 환경을 대상으로 유포되었다.EtherRAT 악성코드를 분석하던 중 EtherRAT 악성코드의 C&C 서버와 통신하는 다수의 msi 파일을 확보하였고, 분석 결과 윈도우 환경을 대상으로 유포된 EtherRAT 악성코드가 존재하는 것을 확인하였다. 특히 일부 파일들은 특정 게임의 모드 설치 파일로 위장해 압축 파일에 포함된 형태인 것이 확인되었다.본 글은 게임 모드 설치 파일로 위장한 EtherRAT 악성코드에 대한 분석 내용과 EtherRAT 악성코드가 사용하는 스마트 컨트랙트 분석 결과를 다룬다.

지난 2025년 9월, 엔키화이트햇 위협연구팀은 피싱 사이트를 통해 유포되는 악성 모바일 앱을 발견했다. 공격자는 QR코드와 알림 창을 이용해 피해자가 모바일 환경에 악성 앱을 설치 및 실행하도록 유도했다.분석 결과 확보한 악성 앱은 2025년 3월 S2W에서 “DOCSWAP”으로 명명한 악성 앱의 최신 버전으로, 기존 악성 앱과 동작은 동일하지만 내부 APK 복호화 과정이 상이하다. 또한 분석 과정에서 북한 배후 공격 그룹인 Kimsuky와의 연관성도 다수 확인되었다.추가로 APK 파일 메타데이터와 인프라 유사성을 토대로 추가 악성 앱 3개와 공격자 C&C 서버 7개를 확보했다. 이 과정에서 공격자는 악성 앱마다 다양한 테마의 미끼용 동작을 추가해 피해자가 의심하지 않도록 설계했다.