시스코 탈로스는 “페이머스 촐리마”라는 북한 해커 그룹이 인도의 암호화폐 구직자들을 대상으로 공격을 집중하고 있다고 보고했습니다. 이 그룹은 라자루스와 직접적인 연결이 없는 것으로 보입니다.
현재로서는 이러한 노력이 단순한 절도인지, 더 큰 공격을 위한 사전 작업인지 판단하기 어렵습니다. 암호화폐 산업의 구직자들은 앞으로 주의해야 합니다.
북한, 암호화폐 해킹 계속
북한의 라자루스 그룹은 암호화폐 범죄로 악명 높은 그룹으로, 업계 역사상 가장 큰 해킹을 저질렀습니다. 그러나 이는 북한의 유일한 웹3 범죄 활동이 아닙니다. 북한은 디파이에서도 큰 존재감을 가지고 있습니다.
시스코 탈로스는 최근 인도에서 발생한 암호화폐 절도와 관련된 다른 접근 방식을 식별했습니다:
보고서에 따르면 페이머스 촐리마는 새로운 그룹이 아니며, 2024년 중반 또는 그 이전부터 활동해 왔습니다. 최근 몇몇 사건에서, 북한 해커들은 미국 기반의 암호화폐 회사인 크라켄에 지원하여 침투를 시도했습니다.
페이머스 촐리마는 반대로 가짜 지원서를 통해 잠재적인 근로자들을 유인했습니다.
“이 캠페인에는… 가짜 구인 광고와 기술 테스트 페이지를 만드는 것이 포함됩니다. 후자의 경우, 사용자는 최종 기술 테스트 단계를 수행하기 위해 드라이버를 설치해야 한다며 악성 명령어를 복사하여 붙여넣도록 지시받습니다. [영향을 받은 사용자는] 주로 인도에 있습니다.”라고 회사는 주장했습니다.
라자루스의 악명 높은 명성에 비해, 페이머스 촐리마의 피싱 노력은 훨씬 서툴러 보입니다. 시스코는 이 그룹의 가짜 지원서가 항상 유명한 암호화폐 회사를 모방한다고 주장했습니다.
이러한 유인책은 실제 회사의 실제 브랜드를 사용하지 않았으며, 해당 직무와 거의 관련이 없는 질문을 했습니다.
미끼를 삼키다
피해자들은 잘 알려진 기술 또는 암호화폐 회사로 가장한 가짜 채용 사이트를 통해 유인됩니다. 지원서를 작성한 후, 비디오 인터뷰에 초대됩니다.
이 과정에서 사이트는 비디오 드라이버 설치를 위해 명령어 실행을 요청합니다. 그러나 실제로는 악성 소프트웨어를 다운로드하고 설치합니다.
설치되면, PylangGhost는 공격자에게 피해자의 시스템에 대한 완전한 제어권을 제공합니다. 로그인 자격 증명, 브라우저 데이터, 암호화폐 지갑 정보를 탈취하며, MetaMask, Phantom, 1Password와 같은 80개 이상의 인기 확장을 대상으로 합니다.
최근, BitMEX는 악성 소프트웨어 공격을 저지한 후 라자루스가 최소 두 개의 팀을 사용한다고 주장했습니다: 보안 프로토콜을 처음 침투하는 저숙련 팀과 이후 절도를 수행하는 고숙련 팀입니다. 아마도 이는 북한 해킹 커뮤니티의 일반적인 관행일 것입니다.
안타깝게도, 추측 없이 확실한 결론을 내리기는 어렵습니다. 북한이 암호화폐 산업 구직자로 가장하기 위해 이러한 지원자들을 해킹하려는 것일까요?
사용자는 원치 않는 구직 제안을 주의하고, 알 수 없는 명령어 실행을 피하며, 엔드포인트 보호, MFA, 브라우저 확장 모니터링으로 시스템을 보호해야 합니다.
민감한 정보를 공유하기 전에 채용 포털의 정당성을 항상 확인하십시오.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.
