북한 정부와 연계된 해커들이 “수백” 개의 대형 다국적 정보 기술(IT) 기업에 침투하여 암호화폐를 탈취하기 위한 사회 공학적 사기를 확장한 것으로 전해졌습니다.
TechCrunch의 기사에 따르면, Cyberwarcon 사이버 보안 컨퍼런스의 연구원들은 "Sapphire Sleet"와 "Ruby Sleet"라는 두 개의 북한 해커 그룹을 확인했다고 합니다.
Sapphire Sleet 그룹은 합법적인 채용 담당자처럼 가장하여 사기적인 고용 schemes를 통해 개인들을 타겟으로 했습니다. 이들은 피해자들을 면접이나 다른 고용 제안으로 유인한 후, 면접 과정 중 어느 시점에서 사용자의 컴퓨터에 사진-문서 파일(PDF)이나 악성 링크로 위장한 악성 코드를 감염시켰습니다.
Ruby Sleet 그룹은 미국, 영국, 한국의 항공 우주 및 방위 계약업체에 침투하여 군사 기밀을 탈취한 것으로 전해졌습니다.
또한, 보고서에 따르면 북한의 IT 노동자들이 AI, 소셜 미디어, 음성 변조 기술을 이용해 가짜 신원을 만들어 기업에 침투하고 채용 사기를 벌였다고 전해졌습니다.
Crypto theft for November 2024. Source: Immunefi, Because Bitcoin
북한 해커들, 암호화폐 산업을 타겟으로 공격
Cyberwarcon의 연구원들이 북한 해킹 그룹들이 정보 기술 회사들을 타겟으로 한다고 경고하기 훨씬 이전에, 북한 정권과 연관된 해커들은 같은 전술을 사용하여 암호화폐 기업들을 공격하고 있었습니다.
8월에, 온체인 추적 전문가 ZackXBT는 가짜 신원을 사용하여 다양한 암호화폐 프로젝트에서 일하고 있는 21명의 개발자를 식별했다고 주장했으며, 이들 개발자는 북한 사람일 것으로 보입니다.
그 후 9월에, 연방수사국(FBI)는 북한 해커들이 암호화폐 회사와 탈중앙화 금융(DeFi) 프로젝트를 타겟으로, 고용 제안으로 위장한 악성 소프트웨어를 배포하고 있다고 경고했습니다. 사용자가 악성 코드를 다운로드하거나 악성 링크를 클릭하면, 그들의 개인 키가 도난당하게 된다고 밝혔습니다.
최근 10월, Cosmos 생태계는 Liquid Staking Module에 대한 우려를 겪었습니다. 이 모듈이 북한 개발자들에 의해 구축되었다는 주장이 제기되었습니다.
당시 Cosmos 생태계 개발자인 Jacob Gadikian은 “LSM을 만든 사람들은 세계에서 가장 숙련되고 prolific한 암호화폐 도둑들”이라고 말했습니다. 백도어와 다른 악성 코드의 위협으로 인해 Cosmos Liquid Staking Module에 대한 여러 차례의 보안 감사가 진행되었습니다.
매거진: 라자루스 그룹의 가장 선호하는 취약점 공개 — 암호화폐 해킹 분석