북한 해커들이 암호화폐 전문가를 대상으로 PylangGhost 트로이 목마를 배치하여 위조 채용 사이트를 통해 지갑과 비밀번호를 훔치고 있습니다.
최근 발견된 정교한 사이버 공격 캠페인은 북한 해커 그룹이 암호화폐 및 블록체인 전문가를 대상으로 하고 있습니다. 이 캠페인의 주요 도구는 "PylangGhost"라는 원격 접속 트로이 목마로, 암호화폐 지갑 및 비밀번호 관리자로부터 민감한 정보를 훔치도록 특별히 설계되었습니다.
시스코 탈로스의 최근 보고서에 따르면, 이 해커 그룹은 "유명한 천리마"로 알려져 있으며 "Wagemole"로도 불립니다. PylangGhost 트로이 목마는 이전에 발견된 GolangGhost RAT의 업그레이드된 버전으로, Python 프로그래밍 언어로 제작되어 시스템 침투 및 데이터 절도 능력이 더욱 향상되었습니다.
이 공격 캠페인은 주로 블록체인 분야에서 강력한 성장을 보이고 있는 인도의 암호화폐 전문가들을 대상으로 합니다. 유명한 천리마 그룹의 주요 방식은 위조 채용 시나리오를 사용하는 소셜 엔지니어링입니다. 이들은 코인베이스, 로빈후드, 유니스왑(Uniswap)과 같은 대형 핀테크 기업을 사칭하는 웹사이트를 만들어 구직자들에게 접근합니다.
피해자가 가짜 "채용 담당자"와 연락하면, 이들은 위조 채용 사이트에서 온라인 기술 테스트에 참여하도록 초대받습니다. 인터뷰 과정에서 피해자들은 장치의 카메라 및 비디오 접근 권한을 부여하도록 설득되며, 새 비디오 드라이버 설치를 위한 필수 단계로 위장된 악성 코드를 복사하고 실행하도록 지시받습니다.
피해자가 악성 코드를 활성화하면 PylangGhost가 장치에 설치되어 해커에게 시스템에 대한 완전한 제어권을 부여합니다. 악성 코드의 페이로드는 웹 브라우저의 80개 이상의 확장 프로그램에서 쿠키 및 로그인 정보를 추출하도록 설계되었으며, 특히 메타마스크, 팬텀 같은 인기 있는 암호화폐 지갑과 1Password 같은 비밀번호 관리자를 대상으로 합니다.
위조 채용을 이용한 공격은 새로운 방식은 아니지만, 기술적 방어 조치를 우회하기 위해 인간의 취약성을 악용하는 데 항상 높은 효과를 보입니다. 이전 4월에는 바이비트(Bybit)에서 14억 달러를 훔친 다른 해커 그룹도 유사한 방식으로 암호화폐 개발자들을 속여 악성 코드가 포함된 가짜 채용 테스트를 수행했습니다.
PylangGhost와 이번 최신 캠페인의 등장은 북한 해커들이 디지털 금융 분야의 고가치 대상을 겨냥하여 공격 도구를 지속적으로 개발하고 있음을 보여줍니다.
