라자루스 해커 그룹이 약 75만 달러 상당의 400 이더리움(ETH)을 토네이도 캐시 믹싱 서비스를 통해 전송했으며, 소프트웨어 개발자와 암호화폐 지갑을 대상으로 하는 새로운 악성코드를 배포했습니다.
3월 13일, 블록체인 보안 기업 CertiK는 400 이더리움(ETH)이 토네이도 캐시로 전송된 의심스러운 거래에 대해 X 플랫폼에서 경고했습니다. CertiK는 이 자금 흐름이 과거 라자루스의 비트코인 네트워크 활동과 관련이 있다고 확인했습니다.
이번 활동은 라자루스가 최근 바이비트(Bybit) 거래소 해킹(14억 달러 손실), 1월 페멕스(Phemex) 거래소 해킹(2900만 달러 손실), 2022년 로닌(Ronin) 네트워크 공격(6억 달러 손실) 등 대규모 공격의 배후로 지목되는 가운데 이루어졌습니다.
Chainalysis에 따르면, 북한 해커들은 2024년 47건의 공격을 통해 13억 달러 이상의 암호화폐 자산을 훼손했으며, 이는 2023년 전체 손실액의 두 배에 달합니다.
NPM 생태계를 대상으로 한 새로운 악성코드 캠페인
거래소 직접 공격 외에도 라자루스는 소프트웨어 개발 분야로 활동 범위를 확장했습니다. Socket의 사이버 보안 전문가들은 널리 사용되는 Node Package Manager(NPM) 라이브러리와 JavaScript 패키지를 대상으로 하는 새로운 악성코드 캠페인을 발견했습니다.
Socket에 따르면 라자루스 그룹은 개발 환경에 침투하고, 로그인 정보를 훼손하며, 암호화폐 데이터를 추출하고 백도어를 설치하기 위해 설계된 6개의 새로운 악성 소프트웨어 패키지를 배포했습니다. 이들은 널리 알려진 라이브러리 이름을 약간 변경하는 "typosquatting" 기술을 사용했습니다. "BeaverTail"은 이번 캠페인의 대표적인 악성 패키지입니다.
이 악성코드는 솔라나(Solana)와 이크소더스 월렛(Exodus Wallets)과 같은 암호화폐 지갑을 특별히 목표로 하며, 구글 크롬, 브레이브, 파이어폭스 브라우저의 파일과 macOS 키체인 데이터를 공격합니다. 주요 공격 대상은 이러한 악성 패키지를 무심코 설치할 수 있는 개발자들입니다.
라자루스의 직접적인 연관성을 정확히 확인하기는 어려우나, 연구원들은 "이번 NPM 공격에서 관찰된 전술, 기술 및 절차(TTPs)가 라자루스의 이전 활동과 명확한 유사성을 보인다"고 분석했습니다.
