라자루스 그룹 해커들이 링크드인을 통해 암호화폐 투자자들을 노립니다
해커는 LinkedIn을 사용합니다.
라자루스 그룹의 북한 해커들이 링크드인에서 사기성 채용 공고를 이용해 대규모 캠페인을 벌이고 있습니다. 이들은 구직자의 브라우저 자격 증명을 훔치고 암호화폐 지갑을 해킹하며 감염된 디바이스에 대한 지속적인 액세스를 설정합니다.
비트디펜더 연구소에 따르면 공격자들은 링크드인을 통해 가짜 구인 공고를 통해 피해자에게 접근하여 원격 서버에서 악성 자바스크립트 탈취 프로그램을 다운로드하고 실행하도록 속입니다.
비트디펜더는 블로그 게시물에서 "연구원들은 이 멀웨어가 윈도우, 맥OS, 리눅스에서 실행할 수 있는 크로스 플랫폼 스틸러라는 사실을 발견했습니다."라고 설명했습니다.
이 멀웨어는 암호화폐 자산과 관련된 특정 브라우저 확장 프로그램을 추적하여 인기 있는 암호화폐 지갑을 표적으로 삼도록 설계되었습니다.
연구원들은 멀웨어와 공격 방법을 분석한 결과 이 캠페인을 북한 해커, 특히 이전에 가짜 구인 공고와 사기성 입사 지원서 등 유사한 전술을 사용한 적이 있는 APT38과 연관 지을 수 있었습니다.
사기 수법
이 사기 수법은 링크드인에서 탈중앙화된 암호화폐 거래소 개발에 협력할 수 있는 매력적인 구인 공고로 시작됩니다. 피해자가 관심을 표명하면 이력서나 깃허브 링크를 제공하라는 요청을 받게 되는데, 이는 그 자체로 사기 목적으로 악용될 수 있습니다. 그런 다음 공격자는 가짜 암호화폐 프로젝트의 '최소기능제품(MVP)'이 포함된 리포지토리를 공유합니다.
또한 피해자에게는 저장소에서 데모 코드를 실행해야만 답변할 수 있는 질문이 포함된 문서가 전송됩니다. 이 작업은 멀웨어 설치를 트리거하여 디바이스 감염으로 이어집니다.
LinkedIn과 Reddit 사용자들은 이미 해커가 악성 저장소를 복제하거나 코드의 버그를 수정하도록 요청하는 유사한 공격을 보고한 바 있습니다. 비트디펜더는 모호한 직무 설명, 의심스러운 저장소 및 열악한 커뮤니케이션과 같은 주요 위험 신호에 대해 경고하여 사용자가 이러한 사기의 희생양이 되지 않도록 돕습니다.
한편, 북한 해커들은 계속해서 암호화폐 거래소를 공격하고 있으며, 미국과 동맹국들은 이에 대한 대응책을 마련하고 있습니다.
