ChainCatcher 메시지, 느린 안개 CISO 23pds가 X에 글을 게시하며 공개했습니다: "북한 해커들이 Web3 및 암호화폐 소프트웨어 개발자들을 겨냥한 '99호 작전'이라는 사이버 공격을 시작했습니다. 이 작전은 가짜 채용자를 통해 시작되며, LinkedIn과 같은 플랫폼에서 프로젝트 테스트와 코드 검토를 통해 개발자들을 유인합니다.한 번 피해자가 낚이면, 그들은 악성 GitLab 저장소를 클론하도록 유도됩니다. 겉보기에는 무해하지만 재앙으로 가득 차 있습니다. 클론된 코드는 명령 및 제어(C2) 서버에 연결되어 악성 소프트웨어를 피해자의 환경에 삽입하여 피해자의 컴퓨터를 제어하게 됩니다."

ChainCatcher 메시지, 느린 안개 CISO 23pds가 X에 글을 올리며 말했다: "북한 해커와 관련된 'JustJoin' 로그인 페이지가 다시 나타났다."

ChainCatcher 메시지에 따르면, The Block의 보도에 의하면, 한국 정부는 불법 네트워크 활동, 특히 암호화폐 도난에 연루된 15명의 북한 개인과 한 개체에 대해 제재를 시행했습니다. Chainalysis 데이터에 따르면, 북한 해커들은 2024년에 134억 달러 가치의 암호화폐를 탈취했으며, 이는 그 해에 탈취된 총액의 61%에 해당합니다.이들 제재 대상자는 모두 북한 노동당 기계공업부 소속 제313국의 구성원으로, 이 부서는 2016년 이후 유엔 안전보장이사회 제재를 받고 있으며, 북한의 무기 생산, 특히 탄도 미사일 프로젝트를 담당하고 있습니다. 한국 외교부는 북한 IT 인력들이 종종 신분을 위장하여 중국, 러시아, 동남아시아 및 아프리카 등지로 가서 글로벌 IT 회사로부터 작업 주문을 받으며, 동시에 정보 도난 및 사이버 공격에 참여한다고 밝혔습니다.

ChainCatcher 메시지, 마이크로소프트는 블로그 게시물에서 "Sapphire Sleet"로 알려진 북한 해커 그룹에 대해 자세히 설명했습니다. 이들은 채용 담당자와 벤처 투자자로 위장하여 개인과 회사로부터 암호화폐를 훔치려 합니다. 미끼나 초기 접촉을 통해 목표와 연락한 후, 북한 해커들은 가상 회의를 설정하지만, 실제로 그 회의는 비정상적으로 로딩되도록 설계되어 있습니다.가짜 VC의 시나리오에서는 피해자에게 가상 회의 도구를 수정하는 것처럼 위장한 악성 소프트웨어를 다운로드하도록 강요합니다. 가짜 채용 담당자의 활동에서는 잠재적인 후보자에게 다운로드하고 완료해야 하는 기술 평가를 요구하는데, 이 평가는 실제로 악성 소프트웨어를 포함하고 있습니다. 설치 후, 악성 소프트웨어는 컴퓨터의 다른 자료에 접근할 수 있으며, 여기에는 암호화폐 지갑도 포함됩니다. 마이크로소프트는 단 6개월 만에 해커들이 최소 1000만 달러의 암호화폐를 훔쳤으며, 지난 10년 동안 수십억 달러의 암호화폐를 탈취했다고 밝혔습니다.

ChainCatcher 메시지에 따르면, Cointelegraph는 북한 해커들이 애플의 보안 검사를 피할 수 있는 악성 소프트웨어를 개발한 것으로 보인다고 보도했습니다. 애플에 집중하는 Jamf Threat Labs 연구원들은 이러한 애플리케이션이 실험적이라고 밝혔습니다. 이는 그들이 애플의 macOS 운영 체제를 침해하는 데 이러한 기술이 사용된 것을 처음으로 목격한 것이지만, 최신 시스템에서는 실행되지 않습니다.연구원들은 Microsoft VirusTotal 온라인 스캔 서비스가 이러한 애플리케이션이 무해하다고 보고했지만, 실제로는 악성이었다고 발견했습니다. 이러한 애플리케이션의 변형은 Go와 Python 언어로 작성되었으며, Google Flutter 애플리케이션을 사용했습니다. Flutter는 다중 플랫폼 애플리케이션을 만들기 위한 오픈 소스 개발 도구 키트입니다.여섯 개의 악성 애플리케이션 중 다섯 개는 개발자 계정 서명이 있으며, Apple에 의해 임시로 공증되었습니다. 연구원들은 "이 악성 소프트웨어의 도메인과 기술은 다른 북한 해커 악성 소프트웨어에서 사용된 도메인과 기술과 매우 유사하며, 이 악성 소프트웨어가 서명되었고 심지어 Apple의 공증 절차를 임시로 통과한 것으로 보이는 징후가 있다"고 작성했습니다.

ChainCatcher 메시지에 따르면, Cointelegraph의 보도에 의하면, SentinelLabs의 보고서에 따라 북한 해커 BlueNoroff가 새로운 악성 소프트웨어를 이용해 암호화폐 회사를 공격하고 있으며, "Hidden Risk"라는 별명을 가진 악성 소프트웨어는 여러 단계를 통해 PDF 파일을 통해 전파되며, 가짜 뉴스 제목과 암호화 시장 연구를 사용하여 사용자가 다운로드하도록 유도하고 있습니다.이 악성 소프트웨어 패키지는 해커에게 피해자의 컴퓨터에 원격으로 접근할 수 있는 백도어를 제공하고, 디지털 자산 지갑 및 플랫폼의 개인 키를 포함한 민감한 정보를 탈취하는 기능을 포함하고 있습니다. 사이버 보안 회사 Recorded Future에 따르면, 2017년 이후 북한 해커 조직은 약 300억 달러의 자금을 탈취했습니다.

ChainCatcher 메시지에 따르면, DLNews 보도에 따르면, 유엔 보고서는 북한 해커들이 위조된 구직자 신분으로 암호화 산업에 침투하고 있으며, 가짜 채용 프로그램만으로도 북한은 매년 최대 6억 달러를 벌어들이고 있다고 합니다. 약 4,000명의 북한인이 신분을 숨기고 서방 기술 산업, 특히 암호화 산업에 진입하려고 시도하고 있습니다. 지난 7년 동안 북한 해커들은 58건의 사이버 절도 사건을 통해 30억 달러 상당의 암호 자산을 훔쳤습니다. 전문가들은 이러한 추세가 이제 막 시작되었을 수 있으며, 암호화 산업에 새로운 보안 도전을 안겨줄 것이라고 경고합니다.MetaMask의 수석 보안 연구원 Taylor Monahan은 북한이 불법적으로 자원, IT 작업, 육체 노동 및 해킹 활동을 통해 수익을 창출하고 있다고 지적했습니다. 비트코인 ETF의 출시와 함께 월스트리트는 암호화폐를 자산 클래스로 간주하게 되었고, 암호화 산업의 채용 수요가 급증했지만, 가짜 구직자의 유입으로 채용이 더욱 어려워지고 있습니다.

ChainCatcher 메시지에 따르면, Arkham은 X 플랫폼에 게시하여 올해 4월 ZachXBT가 북한 해커 조직 Lazarus Group의 활동에 대한 조사 결과를 발표했다고 전했습니다. 그는 Arkham 플랫폼에 표시된 실체 주소에 이 조사의 데이터를 보충했으며, 추가로 7개의 주소가 891.13 비트코인을 보유하고 있으며, 이는 6323만 달러의 가치가 있습니다.이전 소식에서 ZachXBT는 Lazarus Group이 4년 동안 2억 달러의 도난당한 암호화폐를 세탁하여 법정 화폐로 전환했다고 주장했습니다.

ChainCatcher 메시지에 따르면, Arkham은 북한 해커 Lazarus Group이 한 달 이상 동안 가장 큰 거래를 완료했으며, 겉보기에는 믹싱 서비스인 웹사이트에서 100만 달러의 비트코인을 인출한 후, 그 중 15만 달러를 이전에 보낸 적이 있는 비활성 주소로 전송했다고 전했습니다.

ChainCatcher 메시지, ESET 보안 연구원들이 스페인 항공우주 회사를 겨냥한 공격을 분석하는 과정에서 공개되지 않은 LightlessCan이라는 백도어를 발견했습니다. LightlessCan은 북한 해커 조직 Lazarus Group의 새로운 악성 소프트웨어로, 현재 탐지를 우회할 수 있으며, 가짜 취업 사기의 일환으로 새로운 유형의 "복잡한" 악성 소프트웨어를 사용하고 있습니다.

ChainCatcher 메시지에 따르면, Cointelegraph의 보도에 의하면 21Shares 모회사 21.co가 Dune Analytics에서 제공한 데이터에 따르면, 북한 해킹 그룹 Lazarus Group과 관련된 지갑이 현재 약 4700만 달러의 디지털 자산을 보유하고 있으며, 이 중 4250만 달러의 비트코인, 190만 달러의 이더리움, 110만 달러의 BNB, 64만 달러의 스테이블코인이 포함되어 있습니다.

ChainCatcher 메시지에 따르면, 연합뉴스는 미국과 한국이 이번 주 북한의 사이버 위협에 대해 작업 그룹 회의를 개최했다고 보도했습니다. 회의 성명서에 따르면, 미국과 한국은 북한의 악의적인 사이버 활동, 특히 가상 화폐 도난 문제를 해결하기 위해 광범위한 조치를 취하고 있습니다.ChainCatcher 이전에 보도한 바와 같이, 슬로우 미스트는 트위터에서 CoinsPaid, Atomic 및 Alphapo 공격자가 모두 북한 해커 조직인 라자루스 그룹과 관련이 있을 수 있다고 밝혔습니다.

ChainCatcher 메시지에 따르면, 《월스트리트 저널》 보도에 의하면, 블록체인 분석 회사 Chainalysis의 데이터에 따르면, 북한 해커들이 디지털 강탈 사건을 통해 300억 달러의 암호 자산을 훔쳤으며, 미국 관리는 이 자금의 50%가 북한의 탄도 미사일 프로그램에 자금을 지원하는 데 사용되었다고 밝혔습니다. 이 프로그램은 핵무기와 함께 개발되고 있습니다. 미국 부국가안보보좌관 Anne Neuberger는 북한이 탄도 미사일 프로그램을 위해 외국 부품을 구매하는 외환 자금의 약 50%가 해당 정권의 사이버 사업에서 제공된 것이라고 말했습니다.알려진 바에 따르면, 북한 해커들은 2018년경부터 첫 대규모 공격을 시작했습니다. 지난해, 북한 해커들은 LinkedIn을 통해 Axie Infinity 개발사 Sky Mavis의 엔지니어와 연락을 취하고, 문서에 악성 컴퓨터 코드를 심어 북한 해커가 엔지니어의 컴퓨터에 접근할 수 있도록 하여 Sky Mavis를 해킹하고, 결국 Axie Infinity 플레이어로부터 6억 달러 이상을 훔쳤습니다.또한, 미국 관리는 북한이 수천 명의 IT 근로자로 구성된 팀을 구성하여 러시아와 중국을 포함한 전 세계에서 활동하고 있다고 밝혔습니다. 그들은 캐나다 IT 근로자, 정부 관료 및 일본의 프리랜서 블록체인 개발자로 위장하고 있습니다. 그들은 일자리를 얻기 위해 비디오 면접을 진행하거나 Sky Mavis의 사례처럼 잠재적 고용주로 위장합니다. 암호화폐 회사에 고용되기 위해 그들은 서양인을 고용하여 면접을 진행하게 하여 북한인이 실제로 고용된 사람이라는 사실을 숨깁니다. 이전 피해자와 조사관에 따르면, 일단 고용되면 그들은 때때로 제품에 소규모 수정을 가하여 해킹에 취약하게 만든다고 합니다.（출처 링크）

ChainCatcher 메시지에 따르면, Sekoia.io는 macOS 운영 체제를 대상으로 Rust와 Objective-C로 작성된 악성 소프트웨어 "RustBucket"을 발견했습니다. 이 소프트웨어는 macOS 설치 프로그램으로 구성되어 있으며, 정상적으로 작동하지만 백도어가 있는 PDF 리더기를 설치합니다. 그런 다음 이 위조된 PDF 리더기는 특정 PDF 파일을 열어 악성 활동을 유발하는 키로 사용해야 하며, 트리거가 발생하면 침해된 시스템에 대한 정보를 수집하고 전송합니다.이 악성 소프트웨어는 북한과 연관된 해커 조직 Bluenoroff와 관련이 있는 것으로 보이며, 2017년 이후 Bluenoroff는 유럽, 아시아 및 유럽에서 암호화폐 거래소와 벤처 캐피탈 관련 기관을 대상으로 금융 활동을 전개해왔습니다.（출처 링크）

ChainCatcher 메시지에 따르면, 한국 국가정보원이 공개한 데이터에 따르면, 2017년 이후 국가 지원을 받는 북한 해커들이 전 세계에서 약 12억 달러의 암호 자산을 훔쳤습니다. 그 중 올해 한 해에만 약 6.26억 달러입니다. 국가정보원은 평양의 디지털 자산 탈취 능력이 현재 세계에서 가장 강력하다고 평가하며, 북한이 2017년 유엔의 경제 제재가 강화된 이후로 계속해서 사이버 범죄에 집중하고 있다고 전했습니다.（출처 링크）

ChainCatcher 메시지에 따르면, 일본 국가 경찰청(NPA)의 정보를 인용한 일본 뉴스에 따르면, 일본의 여러 암호화폐 거래소가 북한 해커 조직인 Lazarus Group의 사이버 공격을 받았으며, 공격을 받은 회사의 직원들이 해커가 보낸 피싱 이메일을 열도록 유인되어 결국 그들의 컴퓨터가 바이러스에 감염되었다고 합니다.전해진 바에 따르면, Lazarus는 북한 해커 조직으로, Ronin, KuCoin 등 여러 암호화 공격 사건에 참여했으며, 사회 공학 공격에 능숙합니다.（출처 링크）

체인캐쳐 메시지, 사이버 보안 회사 SentinelOne은 최근 "Operation In(ter)ception"이라고 불리는 해킹 활동의 최신 변형에서 Lazarus Group이라는 북한 해커 조직이 macOS 사용자를 유인하기 위해 암호화폐 거래소에서 제공하는 매력적인 일자리를 이용하고 있다고 밝혔습니다. 해커들은 악성 소프트웨어를 인기 있는 암호화폐 거래소의 채용 정보로 위장하고, 정교하게 설계된 합법적으로 보이는 유인 PDF 문서를 사용하여 싱가포르 아트 디렉터 -- 개념 예술 (NFT) 등의 직무 공고를 홍보합니다.회사의 보고서에 따르면, 이 해커 조직은 2022년 8월에 이미 같은 일을 했지만, 이번에는 Coinbase 암호화폐 거래소의 가짜 채용 정보를 사용했습니다.（출처 링크）