북한의 사이버 공격 세력이 링크드인(LinkedIn)을 이용해 암호화폐 업계 종사자들을 겨냥한 새로운 악성코드 배포 시도를 벌이고 있다고 알려졌다. 잼프 위협 연구소(Jamf Threat Labs)가 최근 발견한 이번 공격에서는, 공격자가 분산형 암호화폐 거래소인 STON.fi(스톤파이)의 합법적인 인사 담당자로 가장해 피해자에게 접근했다.

이 공격은 북한 정권의 지원을 받는 사이버 공격자들이 네트워크에 침투하기 위한 일련의 다각적인 캠페인의 일환으로, 주로 암호화폐 및 금융 업계를 타깃으로 하고 있다. 공격자들은 피해자에게 면접 또는 코딩 과제라는 명목으로 악성코드를 다운로드하도록 유도하고 있으며, 이를 통해 불법 수익을 창출하거나 북한 정권의 목표를 달성하려는 것으로 보인다.

이러한 공격은 특히 디파이(DeFi)와 같은 암호화폐 관련 기업의 직원을 대상으로, 매우 정교하고 탐지하기 어려운 소셜 엔지니어링 기법을 사용해 진행되고 있다. 미국 연방수사국(FBI)도 최근 이러한 북한의 공격 시도를 경고한 바 있다. 특히 공격자는 회사 소유의 장치나 내부 네트워크에 접근할 수 있는 장치에 코드 실행이나 애플리케이션 다운로드를 요청하는 방식으로 피해자를 속이는 경우가 많다.

잼프 위협 연구소의 연구에 따르면, 이번에 탐지된 공격은 피해자가 코딩 도전 과제의 일환으로 비주얼 스튜디오 프로젝트(Visual Studio) 파일을 다운로드하도록 유도한 뒤, 이를 통해 두 가지의 2차 페이로드인 VisualStudioHelper(비주얼스튜디오헬퍼)와 zsh_env(zsh_env)를 설치하게 만든다. 이 두 페이로드는 동일한 기능을 가지며, RustDoor(러스트도어)라는 악성코드를 통해 맥 운영체제에 백도어를 설치한다.

RustDoor는 2024년 2월에 처음 비트디펜더(Bitdefender)에 의해 발견된 맥 운영체제를 노린 악성코드로, 이후 S2W가 윈도우를 감염시키는 Golang(골랭) 변종을 발견하기도 했다. 이번에 잼프가 발표한 내용에 따르면, 해당 악성코드는 처음으로 북한의 공격 세력에 의해 사용된 것이 확인됐으며, Objective-C(오브젝티브-C)로 작성된 것이 특징이다.

잼프 연구원들은 "암호화폐 산업에 대한 공격 시도가 계속 증가하고 있다"며, "링크드인 등 소셜 미디어에서 연락을 받아 소프트웨어를 실행하라는 요청을 받을 경우 특히 경계해야 한다"고 경고했다. 이러한 소셜 엔지니어링 공격은 유창한 영어 실력을 갖춘 공격자들에 의해 수행되며, 이들은 피해자를 철저히 조사한 후 대화를 시작하는 것으로 알려졌다.

이러한 공격을 예방하기 위해서는 암호화폐 및 디파이 관련 기업의 개발자와 직원들이 소셜 엔지니어링 공격에 대한 경각심을 가져야 하며, 특히 의심스러운 소프트웨어 실행 요청을 주의 깊게 살펴야 할 필요가 있다.