초대 링크 클릭 시 주의사항
최근 만료되었거나 삭제된 디스코드 초대 링크가 악성 서버로 연결되는 사례가 발견되었어요.
디스코드에는 대표적으로 4가지의 초대링크 유형이 있어요.
- 임시 초대 링크(30분 - 7일 후 만료, 삭제 가능)
- 영구 링크 링크(삭제 가능)
- 사용자 지정 초대 링크(변경, 만료 가능)
- 공개 서버 전용 초대링크(사용자 지정 초대링크가 없는 경우에 활성화됨)
이러한 링크들 중 일부를 악용할 수 있는 취약점이 존재해요.
ㅡㅡㅡ
🔁 1. 만료된 임시 초대 링크 재사용
일반적으로 30분~7일 동안 유효한 랜덤 생성 임시 링크는 문자+숫자 조합이며, 만료되면 서버로의 링크 연결이 해제돼요.
하지만 이 초대링크가 만료되면, 레벨 3 부스트 서버를 가진 공격자(해커)가 해당 코드를 “사용자 지정 초대링크”로 재등록할 수 있어요.
결과적으로, 원래는 공지 등에 게시된 신뢰할 수 있는 링크를 클릭하더라도 언제든지 악성 서버로 연결될 수 있어요.
실제로 Check Point는 만료된 임시 링크가 자동으로 공격자의 서버에 복제되어, 예전 커뮤니티 게시글의 링크로 악성 서버에 들어가게 되는 실제 사례를 포착했어요.
ㅡㅡㅡ
🔡 2. 코드 대소문자 문제 (Uppercase Hijack)
랜덤 링크가 소문자와 대문자 혼합일 경우, 예를 들어 https://discord.gg/v8yXQUqDKZ 인 경우, 이 링크가 소문자 코드(v8yxquqdkz) 상태로 공격자 사용자 지정 초대링크로 등록되어 있고 원본 링크가 만료 또는 삭제되면, 모든 참가요청이 해커의 서버로 연결돼요.
다만 링크를 직접 삭제한 경우에 한해 기존 설정된 시간이 만료되기 전까지는 해당하지 않아요.
즉, 대문자가 포함된 영구 초대 링크(99.56%)는 해당되지 않아요.
ㅡㅡㅡ
🔍 3. 해커의 목적
일부 해커들은 특히 과거에 공유된 초대 링크(예: 커뮤니티 글, 트위터, 레딧 등)를 수집해 피싱 서버를 개설하고, 아래와 같은 방식으로 유저를 속이고 있어요:
- 인증을 가장한 캡차 실패 메시지로 PowerShell 명령어 실행을 유도
이번 취약점은 서버 접속(링크 클릭)만으로 문제가 발생하지 않지만, 사칭/악성 서버에서의 인증 절차에서 코드 또는 프로그램을 실행할 경우 아래와 같은 피해가 발생해요.
- 실행 시 디스코드 토큰, 브라우저 비밀번호, 지갑 정보 등이 탈취돼요
- 실행되는 대표 악성코드: RedLine Stealer, AsyncRAT, Skuld Stealer 등
__**알아야 할 것:
- 서버 참가 시 사칭 또는 악성 여부 확인
- 가급적 대문자가 포함된 영구 링크 사용
- 인증 시 PowerShell 또는 F12 등 개발자 도구를 통한 명령어 실행/정보 열람은 절대 금지**__
참고자료: