북한 해커들이 구직 신청서에 숨겨진 악성코드를 이용해 주요 암호화폐 기업들을 표적으로 삼고 있다

북한 해킹 그룹이 가짜 구직 신청 절차의 일환으로 위장한 파이썬 기반 악성코드를 이용해 암호화폐 종사자들을 표적으로 삼고 있다고 Cisco Talos 연구진이 밝혔습니다.앞서 언급한 바와 같이 이번 주.

공개 소스 신호에 따르면 대부분의 피해자는 인도에 거주하는 것으로 보이며, 블록체인 및 암호화폐 스타트업에서 이전 경험을 가진 개인들로 추정됩니다.

시스코는 내부 침해의 증거를 발견하지 못했다고 보고했지만, 더 광범위한 위험은 여전히 명확합니다. 즉, 이러한 시도들은 해당 인물들이 결국 합류할 수 있는 기업들에 접근하려 한다는 점입니다.

PylangGhost라고 불리는 이 악성코드는 이전에 보고된 GolangGhost 원격 접근 트로이목마(RAT)의 새로운 변종으로, 대부분 동일한 기능을 공유하지만 Windows 시스템을 보다 효과적으로 겨냥하기 위해 Python으로 다시 작성되었습니다.

Mac 사용자는 계속해서 Golang 버전의 영향을 받고 있는 반면, Linux 시스템은 영향을 받지 않는 것으로 보입니다. 이 캠페인의 배후에 있는 위협 행위자는 Famous Chollima로 알려져 있으며, 2024년 중반부터 활동해 왔고 북한과 연계된 그룹으로 추정되고 있습니다.

이들의 최신 공격 방식은 간단합니다: 코인베이스(Coinbase), 로빈후드(Robinhood), 유니스왑(Uniswap)과 같은 주요 암호화폐 기업들을 정교하게 위장한 가짜 채용 사이트를 통해 소프트웨어 엔지니어, 마케터, 디자이너들을 유인하여 조작된 '기술 테스트'를 완료하게 만드는 것입니다.

일단 대상자가 기본 정보를 입력하고 기술적 질문에 답하면, 터미널에 명령어를 붙여넣도록 안내받아 가짜 비디오 드라이버를 설치하게 되며, 이는 조용히 파이썬 기반 RAT를 다운로드하고 실행합니다.

페이로드는 이름이 변경된 파이썬 인터프리터(nvidia.py), 아카이브를 풀기 위한 비주얼 베이식 스크립트, 그리고 지속성 유지, 시스템 지문 인식, 파일 전송, 원격 셸 접근 및 브라우저 데이터 탈취를 담당하는 여섯 개의 핵심 모듈을 포함한 ZIP 파일에 숨겨져 있습니다.

RAT은 MetaMask, Phantom, TronLink, 1Password를 포함한 80개 이상의 확장 프로그램에서 로그인 자격 증명, 세션 쿠키 및 지갑 데이터를 탈취합니다.

해당 명령어 세트는 감염된 기기에 대한 완전한 원격 제어를 가능하게 하며, 파일 업로드, 다운로드, 시스템 정보 수집, 쉘 실행 등을 포함합니다 — 이 모든 과정은 RC4로 암호화된 HTTP 패킷을 통해 전송됩니다.

RC4 암호화된 HTTP 패킷은 RC4라는 구식 암호화 방법을 사용하여 인터넷을 통해 전송되는 데이터입니다. 비록 연결 자체는 안전하지 않은(HTTP) 상태이지만, 내부의 데이터는 암호화되어 있으나 RC4가 구식이고 오늘날 기준으로 쉽게 해독될 수 있기 때문에 보안 수준이 높지 않습니다.

비록 재작성되었음에도 불구하고, PylangGhost의 구조와 명명 규칙은 GolangGhost와 거의 동일하게 일치하여 두 프로그램이 동일한 운영자에 의해 작성되었을 가능성이 높다고 Cisco 측은 밝혔습니다.

더 읽어보기: 북한 해커들, 미국 페이퍼 컴퍼니를 이용해 암호화폐 개발자들 겨냥