악명 높은 북한 해킹 조직 라자루스의 하위 그룹이 미국에 기반을 둔 두 개의 유령 회사를 설립하여 가짜 면접을 통해 의심하지 않는 개발자를 유인하고 오픈 소스 소프트웨어 저장소에 멀웨어를 심는 등 정교한 사이버 공격을 감행했습니다.

이 새로운 전술은 전 세계 암호화폐 및 웹3.0 분야에 침투하여 악용하려는 라자루스의 지속적인 캠페인이 크게 확대되었음을 의미합니다.

가짜 미국 기업을 공격 전선으로 활용하기

사일런트 푸시의 보안 연구원들은 악명 높은 라자루스 그룹과 연계된 북한 사이버 요원들이 조작된 신원과 주소를 사용해 뉴멕시코에 블록노바스와 뉴욕에 소프트글라이드 등 최소 2개의 유령 회사를 설립한 사실을 밝혀냈습니다.

이 회사들은 합법적인 암호화폐 컨설팅 회사로 위장하여 LinkedIn, Upwork, CryptoJobsList와 같은 플랫폼에 구인 공고를 게시하여 개발자를 유치했습니다.

해커들은 또한 AI가 생성한 이미지를 사용하여 세 개의 주요 암호화폐 회사의 직원 프로필을 만들고 실제 사람의 이미지를 훔쳤습니다.

이 네트워크에는 수많은 가짜 직원과 실제 인물로부터 도용한 이미지가 사용되고 있습니다. 명백한 가짜 및 도난 이미지 몇 가지를 문서화했지만, 이 캠페인의 사칭 수법이 다르다는 점을 인식하는 것이 매우 중요합니다."라고 설명했습니다;

공격자는 면접 과정에서 지원자에게 파일을 다운로드하거나 링크를 클릭하도록 유도하고, 실제로는 자격 증명, 암호화폐 지갑 키, 민감한 데이터를 탈취하도록 설계된 멀웨어를 전달했습니다.

이 수법의 일환으로 지원자가 소개 동영상을 녹화하려고 하면 오류 메시지가 표시되었습니다. 제공된 '해결책'은 코드 스니펫을 복사하여 붙여넣는 것으로, 이 수법이 완료되면 결국 멀웨어가 설치되는 수법이었습니다.

사이버 보안 업체인 Silent Push에 따르면, 현재 이 캠페인의 일환으로 비버테일, 인비저블페렛, 오터 쿠키 등 세 가지 멀웨어 변종이 활발하게 배포되고 있다고 합니다.

블록노바스는 가짜 회사 중 가장 활발하게 활동한 회사로, 구인을 가장해 멀웨어를 배포하는 데 사용된 것을 확인한 FBI가 도메인을 압수한 바 있습니다.

"전염성 인터뷰"라고 불리는 이 작전은 라자루스가 암호화폐 분야에 침투하고 이를 악용하기 위한 광범위한 노력의 일부분입니다. 공격자들은 신뢰성을 높이기 위해 AI로 생성된 직원 프로필과 조작된 비즈니스 인프라를 사용했습니다.

이 멀웨어는 개인 지갑을 손상시켰을 뿐만 아니라 비밀번호와 민감한 자격 증명을 수집하여 기업에 대한 후속 공격도 가능하게 했습니다.

GitHub 및 NPM을 통한 공급망 공격

라자루스는 사회 공학 전술을 넘어 소프트웨어 공급망을 표적으로 삼아 암호화 및 웹3 개발자들이 널리 사용하는 필수 도구인 깃허브 리포지토리와 NPM 패키지에 악성 JavaScript를 주입하는 등 활동을 강화했습니다.

특정 멀웨어 변종인 Marstech1은 탐지를 피하기 위해 정교한 난독화 및 분석 방지 기술로 설계되었습니다.

설치가 완료되면 메타마스크, 엑소더스, 아토믹과 같은 인기 있는 지갑을 스캔하여 개인 키를 추출하고 브라우저 설정을 수정하여 암호화폐 거래를 가로챕니다.

보안 스코어카드는 전 세계적으로 최소 233명의 피해자를 확인했으며, 이 멀웨어가 널리 사용되는 소프트웨어 프로젝트에 통합될 경우 피해자가 수백만 명으로 늘어날 수 있다고 경고했습니다.

FBI는 이러한 작전을 방해하기 위한 조치를 취해 블록노바스와 같은 도메인을 압수하고 북한 사이버 공격자들의 지속적이고 진화하는 위협에 대한 경고를 발령했습니다.

전문가들은 이러한 캠페인이 북한 정권에 자금을 지원할 뿐만 아니라 글로벌 암호화폐 생태계의 보안과 안정성에 심각하고 점점 더 큰 위험을 초래한다고 강조합니다.