본격적으로 React2Shell 취약점을 다루기에 앞서서 보안을 하는 사람들에게 다소 생소할 수도 있는 React Server Component 개념과, 개발을 하는 사람들에게 낯설 수 있는 Prototype Pollution에 대한 이해가 가볍게 필요하다.React Server Component & Flight Protocol웹 서비스를 제공함에 있어 사용자에게 보여지는 웹 페이지를 Server-side에서 모두 처리하여 완성된 DOM을 제공하는 것을 Server-Side Rendering(SSR)이라고 한다. 반면, API 형태로 데이터만 전달하고 실제 DOM 구성은 사용자 웹 브라우저(Client-side)에서 처리하는 방식을 Client-Side Rendering(CSR)이라고 한다.CSR은 페이지의 뼈대를 사용자에게 제공하고, 실제 DOM 구성은 전부 사용자의 웹 브라우저에서 수행되기 때문에 더욱 풍부한 웹 서비스 사용 경험과 상호작용이 가능하게끔 하였다. 그러나 Frontend 기능이 점점 복잡해지면서, 브라우저가 처리해야 하는 연산량이 증가하였고 이는 곧 사용자 디바이스의 리소스 소모 증가와 성능 저하로 인한 사용자 경험 저하로까지 이어지게 되었다.이러한 문제를 해결하기 위해, React는 렌더링의 상당 부분을 Client 가 아닌 Server에서 처리하는 React Server Components(RSC)를 도입하였다. RSC는 React의 Component 실행은 Server-side에서 하고, 그 실행 결과를 Client에서 받아서 Component를 렌더링 하도록 하는 기술이다. 기존의 SSR과 CSR이 결합된 개념으로 Server에서는 새로운 페이지의 상태를 React Component 형태까지만 렌더링 하여제공하고, Client에서 해당 Component를 렌더링하는 형식으로 나누어 Client의 부담을 줄일 수 있게 되었다.JSON은 데이터를 다루기 위한 매우 훌륭한 직렬화 포맷이지만, 복잡한 React Component를 다루기엔 부적절하다. React Component를 적절히 처리하기 위해서는 단순한 문자열, Dictionary, Array와 같은 데이터를 넘어서 Promise, Blob, Map과 같은 복잡한 타입과 Reference 등을 처리할 수 있어야 한다. 그렇기 때문에 RSC에는 Flight Protocol이라는 독자적인 프로토콜 및 직렬화 포맷이 이용된다.표현식타입예시설명$$Escaped $"$$hello" → "$hello"Literal string starting with $$@Promise/Chunk"$@0"Reference to chunk ID 0$FServer Reference"$F0"Server function reference$TTemporary Ref"$T"Opaque temporary reference$QMap"$Q0"Map object at chunk 0$WSet"$W0"Set object at chunk 0$KFormData"$K0"FormData at chunk 0$BBlob"$B0"Blob at chunk 0$nBigInt"$n123"BigInt value$DDate"$D2024-01-01"Date object$NNaN"$N"NaN value$IInfinity"$I"Infinity$--Infinity/-0"$-I" or "$-0"Negative infinity or negative zero$uundefined"$u"undefined value$RReadableStream"$R0"ReadableStream$0-9a-fChunk Reference"$1", "$a"Reference to chunk by hex IDPrototype PollutionJavascript에서의 객체(Object)는 흔히들 ‘객체 지향’으로 알고 있는 Java, C++의 객체 스타일과 사뭇 다르다. Javascript에서는 객체가 생성될 때 객체의 클래스를 상속받는 것이 아니라 다른 객체를 상속받는 형태이다. 다시 말해, 새로운 객체는 특정 틀(Class)로부터 복제되는 것이 아니라, 자신이 참조하는 또 하나의 객체를 기반으로 동작을 확장해 나간다.이와 같이 상속되는 구조에서 Prototype은 객체가 참조하는 부모 객체로, 자신이 직접 갖고 있지 않은 속성이나 메서드를 찾을 때 조회가 이어지는 대상이다. 예를 들어, Javascript에서 배열은 Array.prototype을 프로토타입으로 삼는데 배열의 toString, push와 같은 메소드는 Array.prototype에 구현되어 있어 프로토타입을 통해 사용할 수 있다.Javascript의 이러한 특성 때문에 어떠한 경로로든 어떠한 프로토타입 객체에 property를 설정할 수 있다면 이후에 생성되는 객체들에 대해 마치 특정 property가 설정된 것과 같이 만들 수 있게 된다. 이렇게 객체의 prototype을 오염시키거나 prototype에 불건전하게 접근하는 행위를 Prototype Pollution이라 한다. 처음보면 다소 생소한 개념일수도 있으나 아래 예시 코드를 통해 쉽게 이해할 수 있을 것이고, 추후 Prototype Pollution에 대해 더 자세히 다뤄보도록 하겠다.

2010년대부터 사용된 KimJongRAT 악성코드가 현재까지 지속적으로 발견되고 있다. KimJongRAT는 2013년 처음 명명된 이후 북한 배후 공격 그룹인 Kimsuky와 연관성이 다수 보고된 악성코드이다.최근 공격자는 PE 파일과 파워쉘, 두 종류의 악성코드를 유포하는 공격에 정보 탈취 로직만 존재하고, C&C 통신 로직은 제외된 KimJongRAT 변종을 사용하였다. 엔키화이트햇 위협연구팀은 이 위협을 지속적으로 추적하여 새로운 인프라와 동일한 공격자가 전개한 또 다른 위협을 식별하였다.추적 과정에서 여러 이메일을 확보할 수 있었고, 공격자는 사회공학적 전략을 이용하여 악성코드 실행을 유도하였다. 공격자는 GitHub를 악용해 악성코드를 유포했으며, 사전에 정의한 조건에 따라 PE 실행 파일 또는 PowerShell 스크립트 형태의 페이로드를 선택적으로 다운로드해 실행하는 전략이 확인되었다.caption - 공격자 활동 개요도

X의 ThreatBookLabs 게시글에서 Lazarus로 분류된 도메인이 보고(25.06.19)되었고, 해당 도메인에 존재하는 docx 파일로 위장한 악성코드를 확보해 분석하였다.분석 결과 해당 악성코드는 Lazarus가 사용하는 Comebacker 악성코드의 신규 변종으로 확인되었으며, C&C 서버 인프라 분석 과정에서 2025년 3월에 유포된 것으로 추정되는 Comebacker 악성코드도 추가 확보할 수 있었다.본 글에서는 신규 변종인 Comebacker 악성코드에 대한 분석 내용과 공격 변화 과정에 대하여 다룬다.1.1. ComebackerComebacker 악성코드는 2021년 구글 Threat Analysis Group의 글에서 처음 보고된 악성코드로, C&C 서버에서 DLL 파일을 다운받아 실행하는 방식의 다운로더/백도어이다. Microsoft에서 처음 Comebacker로 명명하였으며 현재까지 Lazarus 악성코드로 알려져 있다.2024년에는 PyPI 패키지에 Comebacker 악성코드가 삽입되어 배포된 것이 확인되었으며, 2021년부터 지속적으로 유포되고 있다.