초대 링크 클릭 시 주의사항최근 만료되었거나 삭제된 디스코드 초대 링크가 악성 서버로 연결되는 사례가 발견되었어요.
디스코드에는 대표적으로 4가지의 초대링크 유형이 있어요.
- 임시 초대 링크(30분 - 7일 후 만료, 삭제 가능)
- 영구 링크 링크(삭제 가능)
- 사용자 지정 초대 링크(변경, 만료 가능)
- 공개 서버 전용 초대링크(사용자 지정 초대링크가 없는 경우에 활성화됨)
이러한 링크들 중 일부를 악용할 수 있는 취약점이 존재해요.
ㅡㅡㅡ
🔁 1. 만료된 임시 초대 링크 재사용
일반적으로 30분~7일 동안 유효한 랜덤 생성 임시 링크는 문자+숫자 조합이며, 만료되면 서버로의 링크 연결이 해제돼요.
하지만 이 초대링크가 만료되면, 레벨 3 부스트 서버를 가진 공격자(해커)가 해당 코드를 “사용자 지정 초대링크”로 재등록할 수 있어요.
결과적으로, 원래는 공지 등에 게시된 신뢰할 수 있는 링크를 클릭하더라도 언제든지 악성 서버로 연결될 수 있어요.
실제로 Check Point는 만료된 임시 링크가 자동으로 공격자의 서버에 복제되어, 예전 커뮤니티 게시글의 링크로 악성 서버에 들어가게 되는 실제 사례를 포착했어요.
ㅡㅡㅡ
🔡 2. 코드 대소문자 문제 (Uppercase Hijack)
랜덤 링크가 소문자와 대문자 혼합일 경우, 예를 들어 https://discord.gg/v8yXQUqDKZ 인 경우, 이 링크가 소문자 코드(v8yxquqdkz) 상태로 공격자 사용자 지정 초대링크로 등록되어 있고 원본 링크가 만료 또는 삭제되면, 모든 참가요청이 해커의 서버로 연결돼요.
다만 링크를 직접 삭제한 경우에 한해 __기존 설정된 시간이 만료되기 전까지는 해당하지 않__아요.
즉, 대문자가 포함된 영구 초대 링크(99.56%)는 해당되지 않아요.
ㅡㅡㅡ
🔍 3. 해커의 목적
일부 해커들은 특히 과거에 공유된 초대 링크(예: 커뮤니티 글, 트위터, 레딧 등)를 수집해 피싱 서버를 개설하고, 아래와 같은 방식으로 유저를 속이고 있어요:
- 인증을 가장한 캡차 실패 메시지로 PowerShell 명령어 실행을 유도
이번 취약점은 서버 접속(링크 클릭)만으로 문제가 발생하지 않지만, 사칭/악성 서버에서의 인증 절차에서 코드 또는 프로그램을 실행할 경우 아래와 같은 피해가 발생해요.
- 실행 시 디스코드 토큰, 브라우저 비밀번호, 지갑 정보 등이 탈취돼요
- 실행되는 대표 악성코드: RedLine Stealer, AsyncRAT, Skuld Stealer 등
__**알아야 할 것:
- 서버 참가 시 사칭 또는 악성 여부 확인
- 가급적 대문자가 포함된 영구 링크 사용
- 인증 시 PowerShell 또는 F12 등 개발자 도구를 통한 명령어 실행/정보 열람은 절대 금지**__
참고자료: