Ethereum 코어 개발자 잭 콜이 최근 피싱 공격의 표적이 되었습니다. 공격자는 팟캐스트 출연 초대로 위장한 링크를 보냈습니다. 잭에 따르면, 이 공격은 가짜 도메인과 악성 설치 프로그램을 이용해 그의 컴퓨터에서 암호화폐dent증명과 데이터를 탈취하려 했습니다.
콜은 월요일 늦게 X에 21개의 게시글로 이루어진 스레드를 올렸는데, 그 내용은 X에서 그에게 "저희 팟캐스트에 참여하세요!"라는 다이렉트 메시지를 보낸 것에서 사기가 시작되었다는 것부터 시작했습니다
2/21
— zak.eth (@0xzak) 2025년 9월 15일
모든 것은 "저희 팟캐스트에 참여하세요!"라는 트위터 DM으로 시작되었습니다.
공격자(@0xMauriceWang관계자인 척했습니다 @theempirepod에서 @StreamYard 링크가 포함된 이메일이 왔습니다 [email protected] . 내용은 다음과 같았습니다… pic.twitter.com/fEvazOVFs5
소셜 플랫폼에서 @0xMauriceWang이라는 아이디를 사용하는 발신자는 블록워크의 엠파이어 팟캐스트 담당자를 사칭했으며, 잭이 "합법적인 팟캐스트 도메인처럼 보이는" 곳에서 온 이메일을 추가로 보냈습니다
피싱 사기범은 잭이 악성 앱을 설치하도록 '돕기' 위해 시도했습니다
이더 코어 개발자에 따르면, 해당 이메일에는 streamyard.com으로 표시된 링크가 포함되어 있었지만 실제로는 streamyard.org로 연결되는 하이퍼링크였습니다. 콜이 이 링크를 클릭하자 "가입 오류" 메시지가 표시되었고, 계속하려면 데스크톱 애플리케이션을 다운로드하라는 안내가 나왔습니다.
콜이 X 스레드에 공유한 스크린샷에 따르면, 그는 회사 보안 정책 때문에 처음에는 설치를 거부했지만, 공격자는 "이번 한 번만" 설치해 달라고 간청하며 해당 앱을 설치하는 방법을 보여주는 동영상 튜토리얼까지 보냈습니다.
"야, 스트림야드(StreamYard)야. 사용자 수가 3백만 명이 넘어. 나도 회사 노트북 쓰는데, 괜찮아. 브라우저 버전은 거의 작동하지 않아. 20번 시도하면 한 번 정도밖에 연결 안 돼. 마케팅용으로 남겨둔 것 같은데, 실제로는 다들 데스크톱 앱을 쓰더라. 훨씬 안정적이야..."라는 메시지였다.
그때 콜은 "곳곳에서 위험 신호를 감지"하고 업무용 컴퓨터 대신 통제된 연구실 컴퓨터에 해당 패키지를 다운로드했습니다.
그는 DMG 파일 내부에서 ".Streamyard"라는 이름의 숨겨진 Mach-O 바이너리, Bash 로더, 그리고 사용자가 시스템 수준 액세스 권한을 얻기 위해 드래그하도록 유도하는 가짜 터미널 아이콘을 발견했습니다.
그는 해당 로더를 "헛소리로 가득 찬 러시아 인형"이라고 묘사하며, 로더가 base64로 인코딩된 조각들을 연결하고, 키로 복호화한 다음, 결과를 다시 인코딩하고 실행하는 과정을 설명했습니다. 각 단계는 안티바이러스 탐지를 피하도록 설계되었습니다.
"오프라인에서 디코딩해 보니, Stage2는 마운트된 볼륨을 찾아서 .Streamyard 파일을 /tmp/.Streamyard로 복사하고, xattr -c 명령으로 격리 영역을 해제하고, chmod +x 명령으로 권한을 높인 다음 실행하는 AppleScript였습니다. 조용하고, 정밀하고, 치명적이죠." 개발자는 코드를 적으며 설명했다.
콜은 피해자가 macOS Gatekeeper를 비활성화하거나 터미널 드래그 트릭을 이용한 피싱 공격에 속아 넘어간 경우, 악성코드가 비밀번호, 암호화폐 지갑, 이메일, 메시지, 사진 등 모든 데이터를 조용히 유출했을 것이라고 덧붙였습니다.
공격자와의 대화를 통해 악성코드 제작 업체를 고용한 사실이 드러났습니다
콜은 사기꾼에게 도움을 요청한 후, 사기 행각을 중단하는 대신 그와 실시간 통화에 참여했습니다. 사기꾼은 초조해하며 대본을 읽는 듯한 태도로 가짜 설치 과정을 콜에게 안내하려 했습니다.
화상 통화 도중, 이더리움 프로그래머는 화면 공유를 시작하며 김정은의 노골적인 영상들이 담긴 폴더를 넘겨보면서 공격자의 허를 찌르려 했습니다.
왜 작동하지 않는지 답변을 재촉하자, 사기꾼은 자신이 국가 지원 작전에 참여하는 것이 아니라, 한 달에 약 3,000달러를 내고 피싱 도구를 임대하는 해커 커뮤니티의 일원이라고 시인했습니다.
콜은 공격자가 "mate"와 같은 구어체를 사용하여 피해자들이 자신이 영국이나 미국 근처에 있다고 생각하도록 속였다고 지적했습니다. 공격자는 또한 자신이 인프라를 직접 제어하지 못하고 페이로드 도메인을 관리할 수 없으며 "저렴한 사이버 범죄 서비스"를 이용하고 있다고 밝혔습니다
14/21
— zak.eth (@0xzak) 2025년 9월 15일
결정적인 단서는 그들이 https://t.co/3gJrz4EVIl (load.*.php?call=stream 엔드포인트)을 전송에 사용하고 https://t.co/NqE3HGJVms (@streamyardapp)를 미끼로 사용했다는 점입니다. 둘 다 이제 완전히 무력화되었습니다 (감사합니다 @_SEAL_Org). pic.twitter.com/B0zbCmxzpj
크라우드소싱 보안 정보 업체인 VirusTotal의 조사 결과에 따르면, 공격자들이 사용한 배포 인프라는 스크립트 기반 엔드포인트를 통해 악성코드를 호스팅하는 lefenari.com과 미끼로 사용된 streamyard.org였습니다. 사이버 보안 업체인 Security Alliance의 지원을 받아 두 도메인 모두 현재 비활성화되었습니다.
