북한의 해커 조직 라자루스 그룹, 암호화폐 세탁 및 새로운 악성 코드를 통해 개발자 및 디지털 자산을 노리는 공격 지속 중
3월 13일, 블록체인 보안 회사 CertiK는 약 75만 달러 상당의 400 ETH가 토네이도 캐시(Tornado Cash)로 입금된 것을 감지했다. 이 거래는 라자루스의 비트코인 네트워크 활동으로 추적되었다. 이 그룹은 2월에 발생한 14억 달러 규모의 바이빗 해킹 등 여러 대규모 해킹 사건과 연관되어 있다.
해킹 후, 이 그룹은 탈중앙화 거래소 THORChain(RUNE)과 같은 신원 확인이 필요 없는 플랫폼을 사용하여 대규모 암호화폐를 교환하고 전송하면서 여러 기법을 통해 탈취한 자금을 은닉했다.
보고서에 따르면 단 5일 만에 약 29억 1000만 달러가 ThorChain을 통해 이동되어 자금 추적 및 복구가 더 어려워졌다.
또한 라자루스 그룹은 Node Package Manager 플랫폼에 6개의 새로운 악성 코드 패키지를 출시했다. 개발자들이 JavaScript 패키지를 관리하고 설치할 때 사용되는 이 플랫폼에 대한 공격은 3월 11일 보안 회사 Socket의 보고서에서 발표되었다. 이 악성 코드는 자격 증명과 암호화폐 지갑 데이터를 훔치도록 설계되었다.
비버테일(BeaverTail)이라는 패키지를 포함한 이 악성 코드는 이름을 살짝 변경하는 ‘타이포스쿼팅'(typosquatting) 기법을 이용해 합법적인 JavaScript 라이브러리로 가장하고 있다. 주로 크롬, 브레이브, 파이어폭스 브라우저에 저장된 자격 증명과 솔라나 및 이그조더스 지갑을 노린다.
더불어 이 그룹은 가짜 줌(Zoom) 회의를 활용해 암호화폐 창업자들을 속이려 했다. 해커들은 벤처 캐피탈리스트로 위장하여 오디오 문제를 핑계로 가짜 회의 링크를 보내고, 피해자가 문제 해결을 위해 프로그램을 다운로드하면 악성 코드가 설치된다. 보안 연구원들은 여러 암호화폐 창업자들이 이러한 사기를 경험했다고 보고했다.
체이널리시스(Chainalysis)에 따르면, 북한 해커들은 2024년 동안 47건의 공격을 통해 13억 달러 이상의 암호화폐를 탈취했으며, 이는 2023년에 도난당한 금액의 두 배 이상에 달한다.
[COINJUN 기사]