Evelyn 스틸러 악성코드, 비주얼 스튜디오 코드 확장 노려 개발자 자격증명 탈취

2026.01.22 17:05:19

[무료 초대] 2026 제조AX 대전망 온라인 컨퍼런스에서 피지컬AI, 제조AI, 지능형 로봇, 스마트물류, 스마트공정제어, 품질혁신, 자율제조SW, ESG까지 만나보세요 (2.2~6)

소프트웨어 개발자를 노리는 새로운 정보 탈취 악성코드 ‘에블린 스틸러(Evelyn Stealer)’가 마이크로소프트 비주얼 스튜디오 코드(Visual Studio Code) 확장 기능을 악용해 개발자 자격증명과 암호화폐 관련 정보를 빼내는 캠페인이 확인됐다.

미국 보안 전문 매체 더 해커 뉴스(The Hacker News)에 따르면, 사이버보안 연구진은 비주얼 스튜디오 코드(이하 VS 코드) 확장 기능 생태계를 무기화해 ‘에블린 스틸러’라고 불리는 새로운 정보 탈취 악성코드를 유포하는 캠페인 세부 내용을 공개했다.

트렌드마이크로(Trend Micro)는 1월 20일(현지 시간) 발표한 분석에서 이 악성코드가 개발자 자격증명과 암호화폐 관련 데이터 등 민감한 정보를 유출하도록 설계돼 있다고 밝혔다. 또 이렇게 손상된 개발 환경이 더 넓은 조직 시스템으로 침투하기 위한 접점으로 악용될 수 있다고 설명했다.

트렌드마이크로에 따르면 이번 활동은 VS 코드와 서드파티 확장 기능에 의존하는 소프트웨어 개발팀이 있는 조직, 그리고 프로덕션 시스템, 클라우드 리소스, 디지털 자산에 접근할 수 있는 조직을 표적으로 삼도록 설계됐다.

이번 캠페인 세부 내용은 지난해 코이 시큐리티(Koi Security)가 처음 문서화했다. 당시 ‘BigBlack.bitcoin-black’, ‘BigBlack.codo-ai’, ‘BigBlack.mrbigblacktheme’ 등 3개 VS 코드 확장 기능이 확인됐으며, 이들 확장은 궁극적으로 악성 다운로드 DLL인 ‘Lightshot.dll’을 떨어뜨리는 것으로 드러났다.

이 DLL은 숨겨진 파워셸(PowerShell) 명령을 실행해 ‘runtime.exe’라는 2단계 페이로드를 내려받고 실행한다. 이어 이 실행 파일은 메인 스틸러 페이로드를 복호화해, 합법적인 윈도 프로세스인 ‘grpconv.exe’ 메모리에 직접 주입하고, 이를 통해 민감 데이터를 수집한다.

수집된 정보는 FTP 프로토콜을 통해 ZIP 파일 형태로 원격 서버 ‘server09.mentality[.]cloud’로 전송된다. 이 악성코드가 빼내는 정보에는 클립보드 내용, 시스템 정보, 구글 크롬(Google Chrome)과 마이크로소프트 엣지(Microsoft Edge)에 저장된 자격증명 및 쿠키 등이 포함된다.

에블린 스틸러는 또한 분석 및 가상환경을 탐지하기 위한 방어 기제를 갖추고 있으며, 쿠키와 자격증명 탈취 과정에 방해가 되지 않도록 능동적으로 브라우저 프로세스를 종료해 데이터 수집이 원활히 이뤄지도록 한다.

이 과정은 브라우저를 커맨드라인으로 실행하면서 여러 플래그를 설정하는 방식으로 구현된다. 예를 들어 ‘--headless=new’로 헤드리스 모드 실행, ‘--disable-gpu’로 GPU 가속 비활성화, ‘--no-sandbox’로 브라우저 보안 샌드박스 비활성화, ‘--disable-extensions’로 정당한 보안 확장 프로그램의 개입 차단, ‘--disable-logging’으로 브라우저 로그 생성을 중단한다.

또한 ‘--silent-launch’로 시작 알림을 숨기고, ‘--no-first-run’으로 초기 설정 대화상자를 우회하며, ‘--disable-popup-blocking’으로 악성 콘텐츠 실행에 필요한 팝업 차단 해제를 시도한다. ‘--window-position=-10000,-10000’ 플래그로 브라우저 창을 화면 밖에 배치하고, ‘--window-size=1,1’로 창 크기를 1×1 픽셀로 최소화해 사용자가 눈치채지 못하도록 한다.

트렌드마이크로는 DLL 다운로드 프로그램이 한 번에 하나의 악성코드 인스턴스만 실행되도록 뮤텍스(mutual exclusion, 상호 배제) 오브젝트를 생성한다고 설명했다. 이를 통해 감염된 호스트에서 복수의 악성코드 인스턴스가 동시에 실행되지 못하게 한다는 것이다.

트렌드마이크로는 “에블린 스틸러 캠페인은 소프트웨어 개발 생태계에서 중요한 역할을 하는 개발자 커뮤니티를 고가치 표적으로 간주하고 이를 겨냥한 공격이 실제 운영 단계로 넘어갔다는 점을 보여준다”고 분석했다.

이번 공개는 ‘모네타스틸러(MonetaStealer)’와 ‘솔릭스이모털(SolyxImmortal)’로 불리는 두 개의 신규 파이썬(Python) 기반 정보 탈취 악성코드 패밀리가 등장한 시점과 맞물려 있다. 이 가운데 모네타스틸러는 애플 macOS 시스템까지 겨냥해 광범위한 데이터 탈취를 수행할 수 있는 것으로 전해졌다.

사이버 보안업체 사이피르마(CYFIRMA)는 솔릭스이모털에 대해, 합법적인 시스템 API와 널리 사용되는 서드파티 라이브러리를 활용해 민감한 사용자 데이터를 추출한 뒤 공격자가 통제하는 디스코드(Discord) 웹훅으로 유출한다고 설명했다.

사이피르마는 또 이 악성코드 설계가 빠른 실행이나 파괴적 행위보다는 은밀성, 신뢰성, 장기적인 접근 유지에 방점을 두고 있다고 평가했다. 이 악성코드는 전적으로 사용자 영역에서 동작하고 명령·제어에 신뢰할 수 있는 플랫폼을 활용함으로써 초기 탐지 가능성을 낮추면서도 사용자 활동에 대한 지속적인 가시성을 유지하려 한다고 밝혔다.

헬로티 |

헬로티 의 전체기사 보기