답변게시됨13 소스
해커들이 오픈소스 도구 사칭 사이트로 클릭을 납치하고 악성코드를 유포하는 방법
2026년 6월 3일 체크 포인트가 적발한 이 캠페인은 Ghidra 같은 보안 도구의 가짜 사이트를 이용해 사용자를 게이트형 트래픽 분배 시스템(TDS)으로 유도, 정보 탈취형 악성코드 등을 유포한다 [6]. 2025년 말부터 활동을 시작해 5,000건 이상의 VirusTotal 제출 기록을 남겼으며, 터키, 폴란드, 브라질, 독일 등지에서 광범위한 피해자가 발생한 대규모 트래픽 수익화 작전이다 [6].
384K0
AI 프롬프트
openai.comCreate a landscape editorial hero image for this Studio Global article: What is the sprawling malware campaign documented by Check Point on June 3, 2026, that uses fake open-source tool websites impersonating pla. Article summary: This is the campaign documented by **Check Point Research on June 3, 2026**, titled **"Impersonation, Click Hijacking, and TDS: Inside a Malware Distribution Ecosystem"** [6]. Here is a summary of the key findings direct. Topic tags: general, education, general web. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers have flagged a large-scale operation that impersonates open-source and freeware projects to funnel unsuspecting users through a Traffic Distribution Syste" source context "Fake Sites Mimicking Open-Source Tools Rank High on Google to ..." Reference image 2: visual subject "# Fake Open-Source
이제는 검색 엔진에서 ‘Ghidra’나 ‘SpiderFoot’ 같은 신뢰받는 오픈소스 보안 도구를 내려받는 일조차 고위험 활동이 되었다. 사이버 보안 연구 기관 체크 포인트(Check Point) 가 2026년 6월 3일자 보고서를 통해 공개한 정황에 따르면, 바로 그 신뢰를 악용하는 정교하고 광범위한 악성코드 유포 캠페인이 진행 중이다. 이 작전은 전문적으로 디자인된 가짜 사이트들을 네트워크처럼 연결해 사용자 트래픽을 가로채고, 다중 필터링 시스템을 통과시켜 선별적으로 악성 페이로드를 전달한다 .
이 캠페인은 단순한 피싱 수준이 아니다. 검색 엔진 조작, 아마존 CloudFront 기반 자바스크립트를 이용한 클릭 납치, 그리고 탐지를 회피하기 위한 다계층 분석 방지 기능을 갖춘 트래픽 분배 시스템(TDS, Traffic Distribution System) 을 결합해, 가치가 높은 표적만을 골라 공격한다. 체크 포인트는 이 작전이 근본적으로 트래픽을 확보하여 금전적 이득을 취하는 체계이자 다른 악성코드 유포자들을 위한 일종의 유통망 역할을 한다고 평가한다 .
공격 체인: 검색 클릭부터 악성코드 감염까지
감염은 사용자가 유명 오픈소스 도구를 검색하는 순간부터 시작된다. 공격자들은 Ghidra, dnSpy, SpiderFoot 등의 합법적인 프로젝트 페이지를 그대로 베낀 가짜 사이트들을 대량으로 배포해 두었다. 이 사이트들은 디자인이 훌륭하고, 실제 원본 자료를 참조하는 경우가 많아 한눈에 보기에는 진짜 프로젝트 포털과 구분하기 어려우며, 검색 결과에서도 상위에 랭크된다 .
기술적인 속임수는 사용자의 클릭과 동시에 발동한다. 사용자가 이런 가짜 사이트에서 ‘다운로드’ 버튼을 클릭하면, CloudFront에 호스팅된 자바스크립트 레이어가 그 첫 클릭을 가로채어 공격자들의 TDS 인프라로 연결해 버린다 .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
사람들은 또한 묻습니다.
"해커들이 오픈소스 도구 사칭 사이트로 클릭을 납치하고 악성코드를 유포하는 방법"에 대한 짧은 대답은 무엇입니까?
2026년 6월 3일 체크 포인트가 적발한 이 캠페인은 Ghidra 같은 보안 도구의 가짜 사이트를 이용해 사용자를 게이트형 트래픽 분배 시스템(TDS)으로 유도, 정보 탈취형 악성코드 등을 유포한다 [6].
먼저 검증할 핵심 포인트는 무엇인가요?
2026년 6월 3일 체크 포인트가 적발한 이 캠페인은 Ghidra 같은 보안 도구의 가짜 사이트를 이용해 사용자를 게이트형 트래픽 분배 시스템(TDS)으로 유도, 정보 탈취형 악성코드 등을 유포한다 [6]. 2025년 말부터 활동을 시작해 5,000건 이상의 VirusTotal 제출 기록을 남겼으며, 터키, 폴란드, 브라질, 독일 등지에서 광범위한 피해자가 발생한 대규모 트래픽 수익화 작전이다 [6].
실무에서는 다음으로 무엇을 해야 합니까?
공격은 검색 결과에서 시작되며, CloudFront에 호스팅된 자바스크립트가 다운로드 버튼의 첫 클릭을 납치하고, 다중 계층 분석 방지 기능을 갖춘 TDS가 사용자를 선별한 뒤 최종 악성 페이로드를 전달한다 [6][7].
출처
- research.checkpoint.comImpersonation, Click Hijacking, and TDS: Inside a Malware ...
- socdefenders.aiImpersonation, Click Hijacking, and TDS: Inside a Malware ...
- cyfar.caAll posts
- wiu.eduCybersecurity News - Western Illinois University
- rescana.comActive Exploitation Alert: Fake Open-Source Software Sites ...
- cirosec.deAnalysis of a credential-stealer malware campaign – Part 1 - cirosec
Loading comments...
Comments
0 comments