북한 해커 그룹 라자루스, 암호화폐 겨냥해 npm 패키지로 새로운 공격 전개
북한의 해커 조직 라자루스 그룹이 npm 패키지를 통해 새로운 공격을 감행하고 있는 것으로 나타났다. 이들은 BeaverTail 악성 코드를 이용해 로그인 자격 증명을 탈취하고 암호화폐 관련 데이터를 유출하며 지속적인 백도어를 설치하고 있다.
소켓 리서치 팀의 연구에 따르면, 라자루스 그룹은 개발자와 암호화폐 사용자를 표적으로 6개의 악성 패키지를 npm에 심었다. 이 패키지들은 300회 이상 다운로드되었으며 로그인 자격 증명 탈취, 백도어 설치, Solana 관련 암호화폐 지갑이나 Exodus에서 민감한 데이터 추출을 목적으로 설계되었다. 특히, 이 악성 코드는 Chrome, Brave, Firefox 같은 브라우저 프로필과 macOS의 키체인 데이터를 스캔해 정보를 탈취한다.
확인된 패키지는 is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, auth-validator로, 오타로 오도된 이름을 이용해 개발자를 속이고 있다.
소켓 보안사의 위협 인텔리전스 분석가, Kirill Boychenko는 “탈취된 데이터는 hxxp://172.86.84[.]38:1224/uploads라는 하드코딩된 C2 서버로 전송된다. 이는 라자루스가 수집한 정보를 전송하는 잘 문서화된 전략에 따른 것이다”라고 밝혔다.
라자루스는 이전에도 npm, GitHub, PyPI를 통한 공급망 공격을 이용해 네트워크를 침투한 바 있으며, 이는 15억 달러 규모의 Bybit 거래소 해킹과 같은 대형 해킹 사건에 기여했다. 보안 전문가들은 이들이 다단계 페이로드를 활용한 캠페인으로 장기적인 접근 권한을 유지하는 전략을 사용했다고 평가했다.
2월 말에는, 북한 해커들이 세계 최대 암호화폐 거래소 중 하나인 Bybit를 겨냥해 약 14.6억 달러 상당의 암호화폐를 탈취하는 정교한 해킹을 실시했다. 이번 공격은 Bybit의 기술 제공업체인 Safe의 직원 컴퓨터를 감염시켜 수행된 것으로 보고되었다. 침해 사건 발생 후 2주도 채 되지 않아, Bybit의 CEO Ben Zhou는 탈취된 자금의 약 20%가 믹싱 서비스를 이용한 해커들의 조치로 인해 추적 불가능해졌다고 밝혔다.
[COINJUN 기사]