Analysis

106. Beavertail in github

p3ngdump 2025. 6. 5. 21:26

Lazarus 그룹이 사용하는 것으로 알려진 Beavertail 악성코드가 Github을 통해 유포되고 있는 것으로 보여진다. LOTS(Living Off Trusted Site) 기법을 사용해 유포하는 것으로 보여진다.

Beavertail 악성코드의 경우, 이전에 스피어피싱 메일 등을 통해 유포된 적이 존재한다.

https://asec.ahnlab.com/ko/87227/

 

채용 메일을 위장한 피싱 공격 정황 사례 분석 (BeaverTail, Tropidoor) - ASEC

2024년 11월 29일 Dev.to라는 이름의 개발자 커뮤니티에서 다음과 같이 채용 공고 메일을 위장해 악성코드를 유포하는 사례가 공개되었다. [1] 해당 사례에서 공격자는 프로젝트가 포함된 BitBucket 링

asec.ahnlab.com

 

본 글에서 탐지한 Beavertail 악성코드는 부동산 플랫폼, 게임 등의 코드로 위장해 Github 내 업로드 되어있다.

github 내 Beavertail 악성코드가 포함된 repository

 

총 5개의 repository를 탐지했으며 모두 코드 내 .env 파일이 존재한다. 환경변수 파일로 위장해 존재하며 변수명 등은 모두 일반적인 환경변수처럼 보여진다. 환경변수 중 DEV_API_KEY, DEV_SECRET_KEY, DEV_SECRET_VALUE 에는 base64 인코딩 된 값이 할당되어 있다.

.env 파일 내용

 

base64 할당된 값을 각각 디코딩하면 아래 값들이 나타난다.

- DEV_API_KEY: https://bs-production[.]up[.]railway[.]app/out

- DEV_SECRET_KEY: x-secret-key

- DEV_SECRET_VALUE: _

 

각 repository 들은 npm start 등을 통해 코드를 실행하게끔 안내되어있다. 코드 실행 시, 위의 환경변수들이 실행되며 C2(DEV_API_KEY)에서 Beavertail 악성코드를 다운로드 한다. 이후 Beavertail 악성코드 실행을 통해 피해자 PC의 각 정보를 탈취하는 형태이다.

환경변수 참조 실행 코드

 

Beavertail 분석은 아래 글에 정리되어 있다. 본 글에서의 Beavertail은 컴파일 형태는 아니지만, 수행하는 악성행위는 동일하다.

https://p3ngdump.tistory.com/156

 

87. Lazarus's Beavertail (MacOS)

얼마 전, Lazarus 그룹이 MacOS 화상통화 앱에 악성코드를 삽입해 정보를 탈취하는 등의 악성행위를 수행했던 것이 밝혀졌다. 본 글에서 해당 샘플을 분석한다. 해당 악성코드는 FreeConference 앱을 위

p3ngdump.tistory.com

 

앞서 설명한 환경 변수를 참조해 C2 서버에서 Beavertail 악성코드를 다운로드 받으면 아래와 같은 파일이 다운로드 및 실행된다. 코드는 탐지 및 분석 회피를 위해 난독화 되어있다.

추가로, C2 서버 또한 정상적인 서버 배포 플랫폼인 railway를 사용해 구축되어있는 것을 볼 수 있다. 이 또한 LOTS 기법이 사용되었다.

Beavertail 악성코드

 

코드 내부에 중간중간 존재하는 hex 값들을 string으로 변환하면 아래와 같은 코드를 볼 수 있다.

hex2string Beavertail 악성코드 1
hex2string Beavertail 악성코드 2

 

본 글에서 분석한 공격을 포함해 이전부터 공격 그룹들의 LOTS 기법 사용이 잦은 것으로 보여진다. 분석 및 탐지 회피에 효과적인 것이 주 이유가 될 것으로 추측된다.

 

Beavertail 유포 Github repository

  - github.com/Faathirazukhruf/realestatetesting
  - github.com/daffhaidar/nft-marketplace-clean
  - github.com/edwardtam919/staking-platform-main
  - github.com/alexeev-dev/racing_game
  - github.com/Fresssh-token/assessment

반응형