북한 해커 그룹인 '페이머스 천리마'는 암호화폐 전문가들을 대상으로 가짜 면접을 통해 데이터를 훔치고 기기에 악성코드를 유포했습니다. 이 악성코드는 메타마스크, 1패스워드, 노드패스, 팬텀, 비트스키, 이니티아, Tron링크, 멀티버스X 등 비밀번호 관리자와 암호화폐 지갑을 포함한 80개 이상의 브라우저 확장 프로그램에서dent정보를 훔쳤습니다.
수요일, 위협 인텔리전스 연구 회사인 시스코 탈로스는 Famous Chollima가 합법적인 회사인 것처럼 가장하고 아무것도 모르는 피해자들을 기술 테스트 웹사이트로 유도하여 피해자들이 개인 정보를 입력하고 기술적인 질문에 답하도록 했다고 보고했습니다
기술 테스트 사이트는 Coinbase , Archblock, Robinhood, Parallel Studios, Uniswap 등과 같은 실제 회사인 것처럼 거짓으로 표시하여 타겟팅에 도움이 되었습니다.
오픈소스 정보에 따르면, 주로 인도에 거주하는 소수의 사용자만 피해를 입었습니다. Digital South Belief의 이사인 딜립 쿠마르 HV는 이러한 사기에 대응하기 위해 인도가 블록체인 기업에 대한 사이버 보안 감사를 의무화하고 가짜 구인 포털을 모니터링해야 한다고 조언했습니다. 또한 그는 국경 간 사이버 범죄와 디지털 의식 제고 캠페인에 대한tron강력한 국제 공조를 촉구했습니다.
Talos는 사기 사건을 추적하고 북한과의 연관성을 확인했습니다.
🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲
𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg
— Mayank Dudeja (@imcryptofreak) 2025년 6월 20일
사이버 보안 연구 회사인 시스코 탈로스는 "PylangGhost"라는 새로운 파이썬 기반 원격 접속 트로이 목마가 맬웨어를 "Famous Chollima" 또는 "Wagemole"이라고도 알려진 북한과 연계된 해킹 집단과 연결했다고 주장했습니다.
해당 회사는 또한 PylangGhost 악성코드가 이전에 보고된 GolangGhost RAT와 기능적으로 동일하며, 동일한 기능을 많이 공유한다고 밝혔습니다. 유명한 천리마(Chollima)는 Python 기반 변종을 사용하여 윈도우 시스템을 공격했고, Golang 버전은 macOS 사용자를 공격했습니다. Linux 시스템은 이러한 최신 공격에서 제외되었습니다.
Talos에 따르면, 이 위협 행위자 그룹은 2024년부터 여러 건의 잘 문서화된 캠페인을 통해 활동해 왔습니다. 이러한 캠페인에는 전염성 인터뷰(일명 기만적 개발)의 변종 사용, 가짜 구인 광고 및 기술 시험 페이지 제작 등이 포함되었습니다. 사용자들은 최종 기술 시험 단계에 필요한 드라이버를 설치하기 위해 악성 명령줄을 복사하여 붙여넣기(ClickFix)하라는 지시를 받았습니다.
5월에 적발된 최신 계획에 연루된 지원자들은 화상 면접을 위해 카메라 접근을 허용하라는 지시를 받고, 비디오 드라이버 설치로 위장한 악성 명령을 복사하여 실행하도록 유도되었습니다. 결국 이들은 가젯에 PylangGhost를 사용하게 되었습니다. 실행은 "nvidia.py" 파일에서 시작되었으며, 이 파일은 여러 가지 작업을 수행했습니다. 사용자가 시스템에 로그인할 때마다 RAT를 실행하는 레지스트리 값을 생성하고, 명령 및 제어(C2) 서버와 통신하는 데 사용할 시스템의 GUID를 생성하고, C2 서버에 연결하고, 서버와의 통신을 위해 명령 루프에 진입했습니다.
Cisco Talos에 따르면, "주장되는 수정 프로그램을 다운로드하는 방법은 브라우저 지문에 따라 다르며, Windows의 경우 PowerShell 또는 Command Shell, MacOS의 경우 Bash와 같이 OS에 적합한 셸 언어로 제공됩니다."
탈로스는 유명한 천리마 해커들이 거래소에서 직접 자금을 훔치는 것 외에도, 최근 암호화폐 전문가들을 표적으로 삼아 정보를 수집하고 암호화폐 회사 내부로 침투하는 모습을 관찰했습니다. 올해 초 북한 해커들은 FBI가 BlockNovas 도메인을 압수하기 전에 사기성 구직 면접을 통해 악성코드를 유포하기 위해 BlockNovas LLC와 SoftGlide LLC라는 가짜 미국 회사를 설립했습니다.
북한, 악명 높은 해킹 계획의 중심지로 부상
2024년 12월, 5천만 달러 규모의 Radiant Capital 해킹 사건은 북한 해커들이 전직 계약자로 위장하여 trac 시작되었습니다 . 이들은 진행 중인 신규 프로젝트에 대한 피드백을 요청한다는 명목으로 zip 파일을 공유했습니다.
일본, 한국, 미국의 공동 성명은 라자루스를 포함한 북한 지원 단체가 2024년에 여러 건의 암호화폐 강도 사건을 통해 최소 6억 5,900만 달러를 훔쳤다는 사실을 확인했습니다. 특사들은 IT 전문가를 포함한 북한의 해외 근로자들이 "악의적인 사이버 활동"에 연루되어 암호화폐를 포함한 자금의 도난 및 세탁을 통해 북한 정권이 무기 프로그램에 자금을 조달하는 데 중요한 요인이라고 지적했습니다.
체이널리시스(Chainalysis) 조사 담당 부사장 에린 플랜트(Erin Plante)는 북한과 연계된 해커들이 지난 몇 년간 가장 활발하게 암호화폐를 해킹했다고 확인했습니다. 2022년에는 북한과 연계된 해커들이 여러 차례의 해킹을 통해 약 17억 달러 상당의 암호화폐를 훔쳐 자체적인 절도 기록을 경신했는데, 이는 2021년 4억 2,880만 달러에서 크게 증가한 수치입니다.
그러나 5월, 암호화폐 거래소 크라켄은 IT 직책에 지원한 북한 요원을 dent 했다고 밝혔습니다 면접 중 기본적인 신원 확인 테스트에 dent
