북한 해커, 가짜 회사 및 구인 제안으로 암호화폐 타겟팅

사이버 보안 회사 Silent Push의 연구원들은 악명 높은 Lazarus Group 내의 하위 그룹인 Contagious Interview(일명 “유명한 철리마”)로 알려진 북한의 고급 지속적 위협(APT) 그룹에 의한 정교한 캠페인을 발견했습니다.

이 작전은 미국 내 가짜 암호화폐 회사를 만들고 기만적인 면접 전술을 사용하여 악성 소프트웨어를 배포하고 조직에 침투하는 것을 포함했습니다.

주요 발견

Silent Push에 따르면 해커들은 뉴멕시코의 BlockNovas LLC, 앤젤로퍼 에이전시, 뉴욕의 SoftGlide LLC라는 세 개의 전면 암호화폐 회사를 설립했으며, 허위 신원과 주소를 사용했습니다. 앤젤로퍼 에이전시는 미국에 등록되지 않았습니다.

“이번 새로운 캠페인에서 위협 행위자 그룹은 암호화폐 컨설팅 산업의 세 개 전면 회사인 BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.]com), SoftGlide LLC (softglide[.]co)를 사용하여 ‘구인 면접 유인책’을 통해 악성 소프트웨어를 퍼뜨리고 있습니다.”라고 Silent Push는 상세한 블로그 게시물에서 말했습니다.

이들 기업은 합법적인 암호화폐 컨설팅 회사인 척하며, 무고한 암호화폐 구직자들을 유인하여 악성 소프트웨어를 다운로드하게 하고, 암호 지갑을 손상시키며, 자격 증명을 도용하도록 설계되었습니다.

가짜 회사 외에도 구직자들은 위조된 구인 게시물과 LinkedIn 스타일의 프로필을 통해 표적이 되었으며, 이 과정에서 그들은 지원 자료나 온보딩 문서로 위장된 악성 파일을 다운로드하도록 속았습니다.

이번 캠페인에서 확인된 세 가지 악성 소프트웨어 변종은 BeaverTail, InvisibleFerret, OtterCookie로, 이전에 북한 사이버 부대와 연관되어 있었습니다. 이 프로그램들은 데이터를 도용하고 감염된 시스템에 백도어 접근을 제공하며, 추가 스파이웨어나 랜섬웨어를 사용한 후속 공격의 진입점 역할을 할 수 있습니다.

Silent Push에 따르면, 세 개의 전면 회사 중 가장 활동적인 Blocknovas는 2025년 4월 23일 미국 연방수사국(FBI)에 의해 압수되었습니다. 사이트에 게시된 공지는 이 사이트가 “가짜 구인 게시물로 개인을 속이고 악성 소프트웨어를 배포하기 위해 이 도메인을 사용한 북한 사이버 행위자에 대한 법 집행 조치의 일환으로 폐쇄되었다”고 읽힙니다.

Astrill VPN 및 주거용 프록시와 같은 서비스를 사용하여 그들의 인프라와 활동을 숨기는 것 외에도, Contagious Interview 캠페인은 “Remaker AI” (remaker[.]ai)와 같은 AI 도구를 사용하여 세 개의 전면 암호화폐 회사의 가짜 직원에 대한 신뢰할 수 있는 프로필을 생성하여 이러한 사기 회사의 신뢰성을 높였습니다.

마지막으로, 암호화폐 공격의 일환으로 이 캠페인은 GitHub, 구인 목록 사이트 및 프리랜서 웹사이트와 같은 플랫폼을 적극 활용하여 잠재적 피해자에게 접근하고 악성 소프트웨어를 배포했습니다.

함의 및 권장 사항

북한 사이버 위협이 계속 진화함에 따라, 특히 암호화폐 부문에서 조직은 이 캠페인이 사이버 보안 관행에서 경계를 강화할 필요성을 강조하고 있습니다. 특히 암호화폐 부문과 채용 과정에서 더욱 그렇습니다.

이러한 정교한 공격으로부터 보호하기 위해, 조직은 구직자에 대한 엄격한 검증 프로세스를 구현해야 하며, 대면 또는 비디오 면접을 실시하고 철저한 배경 조사를 수행해야 하며, 직원들에게 원치 않는 구인 제안 및 면접의 위험에 대해 교육해야 합니다.

이 캠페인에 대한 자세한 분석은 Silent Push의 전체 보고서를 확인하십시오: Contagious Interview Front Companies.