현재 상황
현재로서는 이러한 노력들이 소규모 절도인지 아니면 더 큰 공격을 위한 초기 작업인지 판단하기 어렵습니다. 암호화폐 산업의 구직자들은 앞으로 조심해야 합니다.
북한의 암호화폐 해킹 지속
북한의 라자루스 그룹은 암호화폐 범죄에 대한 막강한 명성을 가지고 있으며, 산업 역사상 가장 큰 해킹을 저질렀습니다. 그러나 북한에는 웹3 범죄 기업이 라자루스 그룹만 있는 것이 아니며, 북한은 DeFi에서 막대한 존재감을 보이고 있습니다.
시스코 탈로스는 최근 인도에서 암호화폐 절도에 대한 다른 접근 방식을 가진 범죄 활동을 식별했습니다:
보고서에 따르면 유명한 초리마는 새로운 것이 아니며, 2024년 중반 또는 그 이전부터 활동해왔습니다. 최근 몇 건의 사건에서 북한 해커들은 크라켄과 같은 미국 기반 암호화폐 회사에 지원하여 침투를 시도했습니다.
유명한 초리마는 반대로 허위 지원서를 통해 잠재적인 직원을 유인했습니다.
“이 캠페인에는… 가짜 구인 광고 및 기술 테스트 페이지 생성이 포함됩니다. 후자의 경우 사용자는 최종 기술 테스트 단계를 수행하는 데 필요한 드라이버를 설치하기 위해 악성 명령어를 복사하고 붙여넣도록 지시받습니다. [영향을 받은 사용자는] 주로 인도에 있습니다.”라고 회사는 주장했습니다.
라자루스의 막강한 명성에 비해, 유명한 초리마의 피싱 노력은 훨씬 서투른 것처럼 보입니다. 시스코는 이 그룹의 가짜 지원서가 항상 유명 암호화폐 회사들을 모방한다고 주장했습니다.
이 유인책은 실제 회사의 브랜드를 사용하지 않고, 관련성이 거의 없는 질문을 던졌습니다.
해킹에 사용된 가짜 로빈후드 지원서. 출처: 시스코 탈로스
미끼를 삼키다
피해자들은 잘 알려진 기술 또는 암호화폐 회사로 가장한 가짜 채용 사이트를 통해 유인됩니다. 지원서를 작성한 후, 그들은 비디오 인터뷰에 초대받습니다.
이 과정에서 사이트는 그들에게 명령줄 지시를 실행하도록 요청하는데, 이는 비디오 드라이버를 설치하기 위한 것이라고 주장하지만 실제로는 악성 소프트웨어를 다운로드하고 설치합니다.
설치가 완료되면, PylangGhost는 공격자에게 피해자의 시스템에 대한 완전한 제어를 제공합니다. 로그인 자격 증명, 브라우저 데이터 및 암호화폐 지갑 정보를 훔치며, 메타마스크, 팬텀 및 1Password와 같은 80개 이상의 인기 있는 확장 프로그램을 목표로 합니다.
최근 비트멕스는 악성 소프트웨어 공격을 저지한 후 라자루스가 최소 두 팀을 운영한다고 주장했습니다: 보안 프로토콜을 초기 침해하기 위한 저숙련 팀과 이후 절도를 수행하기 위한 고숙련 팀입니다. 아마도 이것은 북한 해킹 커뮤니티에서 일반적인 관행일 것입니다.
안타깝게도, 추측 없이 확실한 결론을 내리기는 어렵습니다. 북한은 이 지원자들을 해킹하여 암호화폐 산업의 구직자로 더 잘 보이려고 하는 것일까요?
사용자들은 원치 않는 구직 제안에 주의하고, 알려지지 않은 명령을 실행하지 않으며, 엔드포인트 보호, MFA 및 브라우저 확장 모니터링으로 시스템을 보호해야 합니다.
민감한 정보를 공유하기 전에 항상 채용 포털의 합법성을 검증하십시오.