북한 해커들, 암호화폐 산업 구직자 타겟팅
북한과 연계된 해커들이 암호화폐 산업의 구직자들을 목표로 하여 암호 지갑 및 비밀번호 관리자 패스워드를 탈취하기 위해 설계된 새로운 악성코드를 사용하고 있다. Cisco Talos가 수요일에 발표한 바에 따르면, 이 악성코드는 ‘PylangGhost’라는 이름을 가지고 있으며, 북한의 해킹 집단 ‘Famous Chollima’와 연관이 있다.
이 그룹은 주로 인도를 겨냥해 암호화폐 및 블록체인 경험이 있는 구직자와 직원들을 표적으로 삼고 있으며, 사회 공학 기법을 활용한 가짜 취업 면접 캠페인을 통해 공격하고 있다.
“Famous Chollima는 암호화폐 및 블록체인 기술에 대한 경험이 있는 개인을 광범위하게 타겟으로 하고 있음이 분명하다.”
가짜 취업 사이트를 운영하는 공격자들은 Coinbase, Robinhood 및 Uniswap과 같은 합법적인 회사를 흉내 낸 허위 취업 사이트를 제작해 피해자들을 유인하고, 이들을 다단계 과정을 통해 안내한다. 여기에는 악성 정보 수집을 목적으로 하는 기술 테스트 웹사이트로 초대하는 가짜 채용 담당자로부터의 초기 연락이 포함된다.
피해자들은 비디오 및 카메라 접근을 활성화하도록 유도되며, 업데이트된 비디오 드라이버 설치를 가장한 악성 명령을 실행하게 되어 자신의 장치가 감염되는 상황이 발생한다.
PylangGhost는 이전에 문서화된 GolangGhost RAT의 변형으로, 유사한 기능을 공유하고 있다. 이 악성코드는 감염된 시스템에 대한 원격 제어를 가능하게 하며, 80개 이상의 브라우저 확장 프로그램에서 쿠키와 자격 증명을 탈취한다. 이는 MetaMask, 1Password, NordPass, Phantom, Bitski, Initia, TronLink 및 MultiverseX와 같은 암호 지갑 및 비밀번호 관리자를 포함한다.
또한, 이 악성코드는 여러 작업을 동시에 수행할 수 있으며, 스크린샷 캡처, 파일 관리, 브라우저 데이터 탈취, 시스템 정보 수집 및 감염된 시스템에 대한 원격 접근 유지와 같은 기능을 포함하고 있다. 연구자들은 이 위협 행위자들이 코드 작성을 위해 인공지능 대형 언어 모델을 사용했을 가능성은 낮다고 언급했다.
가짜 취업 유인을 통한 악성 공격의 배경
가짜 취업 유인을 통한 공격은 새로운 일이 아니다. 북한과 연관된 해커들이 가짜 일자리와 면접을 활용하여 피해자를 유인한 경우는 이전에도 있었다. 예를 들어, 4월에는 $14억 규모의 Bybit 강도와 관련된 해커들이 악성코드가 포함된 가짜 채용 테스트를 사용하여 암호 개발자들을 목표로 삼고 있었던 바 있다.
