북한의 악명 높은 해킹 조직인 라자루스 그룹이 암호화폐 개발자를 겨냥한 새로운 사이버 공격을 감행했습니다.
보안 연구원들은 지난 몇 달 동안 해당 그룹이dent증명을 탈취하고, 암호화폐 지갑 데이터를 유출하며, 개발 환경에 영구적인 백도어를 심는 악성 npm 패키지를 파괴해왔다는 사실을 발견했습니다. 이는 수년간 이어져 온 이들의 사이버 전쟁에서 중대한 국면으로, 이미 역사상 최대 규모의 암호화폐 탈취 사건들을 목격해 왔습니다.
Socket Research Team 의 새로운 조사에 따르면 , Lazarus Group의 한 분파가 자바스크립트 개발자들이 가장 선호하는 패키지 관리자 중 하나인 npm 저장소에 침투한 것으로 나타났습니다.
해커들은 타이포스쿼팅 기법을 사용하여 인기 있는 npm 패키지의 악성 버전을 게시하고, 이를 의심하지 않는 개발자들이 프로그램을 다운로드하도록 유도했습니다. 해당 패키지에는 is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, auth-validator 등이 포함됩니다.
실행될 경우, 손상된 패키지는 BeaverTail 악성코드를 설치합니다. 이 "고급" 도구는 로그인dent증명을 탈취하고, 브라우저 파일에서 저장된 비밀번호를 검색하며, Solana 및 Exodus와 같은 암호화폐 지갑에서 파일을 덤프할 수 있습니다.
보안 연구원들은 탈취된 데이터가 하드코딩된 명령 및 제어(C2) 서버로 전송되었다는 점에 주목했는데, 이는 라자루스 그룹이dent데이터를 공격자들에게 전달하는 데 사용하는 일반적인 수법입니다.
소켓 시큐리티의 위협 인텔리전스 분석가인 키릴 보이첸코는 "이 악성코드의 목적은 탐지되지 않고 손상된 데이터를 훔쳐 전송하는 것이며, 특히 금융 및 블록체인 애플리케이션을 개발하는 개발자들에게 큰 위협이 된다"고 말합니다.
라자루스는 바이비트를 상대로 공세를 펼쳐 약 14억 6천만 달러를 훔쳤습니다
이러한 공급망 공격 외에도, 라자루스 그룹은 기록적인 규모의 암호화폐 절도 사건 중 하나에도 연루되어 있습니다. 첫 번째 범행은 2025년 2월 21일에 발생한 것으로 추정되는데, 이 그룹과 연계된 해커들이 세계 최대 암호화폐 거래소 중 하나인 바이비트(Bybit)를 해킹하여 약 14억 6천만 달러 상당의 암호화폐 자산을 탈취했습니다.
이번 공격은 매우 정교했으며, 바이빗의 기술 파트너사인 세이프월렛(Safe{Wallet}) 직원의 해킹된 기기에서 시작된 것으로 알려졌습니다. 해커들은 바이빗의 Ethereum 지갑 인프라의 취약점을 악용하여 스마트trac로직을 변경하고 자금을 자신들의 지갑으로 빼돌렸습니다.
바이빗은 문제를 즉시 해결하려 했지만, CEO 벤 저우는 도난당한 자금의 20%가 이미 자금 세탁 서비스를 통해 자금 세탁되어 trac 이 불가능하다고 밝혔습니다.
이번 일련의 공격은 북한이 암호화폐를 훔치고 자금세탁하여 국제 제재를 회피하려는 광범위한 노력의 일환입니다.
2024년 유엔 보고서에 따르면 북한 사이버 범죄자들은 지난 한 해 동안 전 세계 암호화폐 절도 사건의 35% 이상을 저질렀으며, 10억 달러 이상의 자산을 탈취했습니다. 라자루스 그룹은 단순한 사이버 범죄 조직일 뿐만 아니라, 탈취 자금이 북한의 핵무기 및 탄도 미사일 개발 프로그램에 직접 투입되는 것으로 알려져 있어 지정학적 위협이기도 합니다.
라자루스 그룹의 이러한 공격은 수년에 걸쳐 발전하여 직접적인 거래소 해킹에서부터 공급망 공격, 심지어 개발자 및 소프트웨어 저장소 공격에 이르기까지 다양해졌습니다.
npm, PyPI, GitHub와 같은 오픈 소스 플랫폼에 백도어를 추가함으로써, 이 그룹은 잠재적인 공격 범위를 여러 시스템으로 확장하여 암호화폐 거래소를 직접 해킹할 필요성을 없애고 있습니다.
보안 전문가들은 암호화폐 개발자들을 위한 더욱 엄격한 보호 조치를 요구하고 있습니다
이러한 위험이 증가함에 따라 사이버 전문가들은 개발자와 암호화폐 사용자를 위한 더욱 엄격한 보안 조치와 해커로부터의 보호를 촉구하고 있습니다. 그중 하나는 npm 패키지를 설치하기 전에 진위 여부를 확인하는 것입니다. 타이포스쿼팅(typosquatting)은 사이버 범죄자들이 사용하는 가장 흔한 수법 중 하나이기 때문입니다.
Socket AI Scanner는 소프트웨어 종속성 또는 npm 감사에서 이상 징후를 trac손상된 패키지가 사용 중인지 여부를 알려주고, 실제 피해를 입히기 전에 애플리케이션에서 해당 패키지를 제거할 수 있도록 합니다.
이 가이드에서는 사용자와 개발자가 거래소 지갑, GitHub와 같은 개발자 플랫폼 및 기타 계정에 다단계 인증(MFA)을 활성화하여 스스로를 보호하는 데 적극적으로 나서야 한다고 권장합니다.
네트워크 모니터링은 이제 1차 방어선으로 여겨집니다. 시스템이 손상되면 일반적으로 외부 명령 및 제어(C2) 서버로 메시지를 전송하고, 해당 서버는 감염된 컴퓨터에 악성 업데이트를 업로드하기 때문입니다. 불법적인 외부 트래픽을 차단하면 해커가 탈취한 데이터에 접근하는 것을 막을 수 있습니다.
암호화폐 보안 경쟁이 격화됨에 따라 Bybit이 복구 현상금 프로그램을 시작했습니다
바이비트 해킹 사건 이후, 해당 거래소는 도난당한 자산을 찾는 데 도움을 주는 사람에게 보상을 제공하는 복구 현상금 프로그램을 시작했습니다. 이 프로그램은 복구된 금액의 최대 10%까지 보상금을 지급합니다.
동시에, 더 큰 암호화폐 생태계는 보안 관행을 강화하고 개발자들에게 이러한 위협적인 방향으로 이어질 수 있는 동일한 관행으로부터 스스로를 보호하도록 경고하는 데 분주합니다.
하지만 라자루스 그룹의 전술이 점점 더 빠르게 발전함에 따라, 암호화폐 방어자들은 암호화폐에 대한 전쟁이 이제 막 시작되었을 뿐이라고 말합니다.
