해커들이 가짜 암호화폐 회사를 이용해 취업 사기로 악성 소프트웨어를 퍼뜨립니다

북한 해커들이 암호화폐 회사로 위장하여, 가짜 인터뷰 중에 지갑 인증 정보를 도용하는 악성 소프트웨어를 다운로드하도록 구직자를 속이고 있습니다.

Silent Push의 보안 연구원들은 북한 해킹 그룹인 Contagious Interview, 또는 Famous Chollima라고도 알려진 조직이 주도하는 새로운 사이버 공격 캠페인을 발견했습니다.

이 그룹은 BlockNovas LLC, Angeloper Agency, 그리고 SoftGlide LLC라는 세 개의 사기 암호화폐 회사를 운영하고 있어서, 직업을 찾는 사람들을 속여 악성 소프트웨어를 설치하게 만드는 행위를 하고 있습니다.

이 사기는 프리랜서와 채용 웹사이트에 가짜 구인 광고를 게시하는 것으로 시작되며, 이를 통해 암호화폐 산업에서 일하길 원하는 사람들을 대상으로 합니다. 지원자들이 응답하면, 그들은 인터뷰 자료나 코딩 문제를 포함한 파일을 다운로드하도록 요청받게 됩니다.

그러나 이 파일들은 BeaverTail, InvisibleFerret, 그리고 OtterCookie라고 식별된 악성 소프트웨어를 전달합니다. 이 맬웨어는 암호화폐 지갑 자격 증명을 포함한 민감한 데이터를 도용하도록 설계되었습니다.

사기의 신뢰성을 높이기 위해, 해커들은 AI로 생성된 이미지를 사용해 가짜 직원 프로필을 만듭니다. 이 중 일부는 실제같은 초상화를 만드는 도구인 Remaker AI로 제작된 헤드샷입니다.

세 개의 사기 기업들—BlockNovas, Angeloper, 그리고 SoftGlide—는 합법적인 사업체로 자신들을 소개하지만, 그들의 주요 목적은 악성 코드를 배포하는 것입니다. 피해자들은 기술 평가나 인터뷰라고 생각하며 악성 코드를 실행하도록 속아 넘어가게 됩니다.

해커들은 GitHub, 프리랜서 마켓플레이스, 채용 정보 게시판 등의 플랫폼을 사용하여 악성 코드를 배포하고 그들의 작업을 관리합니다.

공격 전략은 북한 국가 주도의 Lazarus 팀의 하위 그룹인 Contagious Interview의 과거 작전에서 보이는 패턴과 일치합니다. 가짜 채용 공고와 AI로 생성된 인물을 사용하는 Lazarus는 주거용 프록시와 VPN을 이용하여 위치를 숨기며 전 세계 사람들을 대상으로 공격합니다.

이러한 공격을 방어하기 위해 전문가들은 채용자들이 알려지지 않은 파일을 다운로드하거나 코드를 실행하는 것이 요구되는 어떠한 제안도 의심하도록 조언하며, 면접을 진행하기 전에 회사의 합법성을 확인하는 것이 중요하다고 말합니다. 또한 최신 보안 소프트웨어를 사용하는 것도 필수적입니다.

한 개발자가 그들의 경험을 이렇게 말했습니다: “어제 제 MetaMask 지갑이 해킹당한 사건에 대해 경고차원에서 공유하고 싶었습니다.”

“Freelancer.com을 통해 새로운 프로젝트를 받았습니다. 클라이언트에게는 ‘결제 확인’ 배지가 있어서, 그들이 진실한 사람들이라고 판단했습니다. 프로젝트는 web3 백엔드 개발에 관한 것이었는데, 이는 제가 자신있게 다룰 수 있는 분야였습니다.”라고 그는 계속하여 말했습니다.

“계약을 수락한 후, 클라이언트는 저를 그들의 GitLab 프로젝트에 초대하고 백엔드 코드를 실행하라고 요청했습니다. 코드를 실행하자마자 제 MetaMask 지갑이 침해당했다는 것을 깨달았습니다.”라고 개발자가 경고했습니다.