북한 사이버 범죄자들이 이례적인 님 프로그래밍 언어로 만들어진 희귀한 macOS 멀웨어인 NimDoor를 활용해 암호화폐 회사를 겨냥한 은밀한 캠페인을 시작했습니다. 이 움직임은 자산이 많은 암호화폐 환경을 겨냥한 북한의 진화하는 전술을 강조하며 사이버 전쟁의 새로운 전선을 예고합니다.
소셜 엔지니어링: 텔레그램의 신뢰에서 가짜 줌 업데이트까지
연구자들에 따르면 이 작업은 텔레그램과 같은 플랫폼에서 공격자가 신뢰할 수 있는 연락처로 위장하는 고전적인 소셜 엔지니어링 미끼로 시작됩니다. 공격자는 피해자를 설득하여 Google Meet 또는 Zoom을 통해 회의 일정을 잡은 다음 Zoom "업데이트" 파일로 보이는 내용을 전달합니다. 파일을 실행하는 피해자는 합법적인 소프트웨어를 업데이트하는 줄 알고 실수로 NimDoor를 설치합니다. 미끼 공백과 오타("Zoom" 대신 Zoom")가 교묘하게 포함된 이 스크립트는 기본 검사를 통과하고 의심을 피했으며, 작은 세부 사항이 주요 위협을 어떻게 숨길 수 있는지 보여줍니다.
NimDoor: 기대에 부응하는 Mac 멀웨어
NimDoor는 여러 가지 이유로 주목받고 있습니다: 첫째, NimDoor는 악성 소프트웨어에는 거의 사용되지 않지만 Windows, Mac, Linux에서 스텔스하는 데 이상적인 언어인 Nim으로 작성되었습니다. 둘째, 두 개의 Mach-O 바이너리를 삭제하고 고급 프로세스 인젝션을 사용하여 SIGINT 및 SIGTERM 신호를 자동으로 재출시하여 지속성을 유지합니다. 셋째, TLS로 암호화된 WebSocket 채널(wss)을 통해 공격자와 통신하고 RC4 암호화 및 JSON 형식의 메시지를 계층화하여 데이터를 조용히 필터링합니다. NimDoor가 내장되면 브라우저 자격 증명, 지갑 시드 문구, SSH 키 및 기타 민감한 정보를 훔치는데, 이 모든 정보는 암호화폐에 초점을 맞춘 타겟에 특별히 맞춤화되어 있습니다.
웹3.0 및 암호화폐 개발자를 대상으로 한 광범위한 캠페인
이 이니셔티브는 웹3.0에 대한 일련의 북한 사이버 공격 중 가장 최근의 조치입니다. 최근의 다른 위협으로는 Koi Stealer 변종과 LinkedIn과 같은 플랫폼에서 채용 담당자를 사칭한 "러스트도어" 악성 소프트웨어가 있습니다. 이러한 캠페인은 점점 더 개발자와 내부 시스템을 표적으로 삼아 지갑을 배수하거나 백도어를 배포하고 있습니다. 사이버 보안 전문가들은 북한의 악명 높은 라자루스 그룹이 이러한 작전의 배후에 있다고 생각하며, 국제사회의 강력한 제재에 따라 국가 활동에 자금을 지원하기 위해 암호화폐의 탈중앙화된 특성을 악용하고 있습니다.
이것이 중요한 이유
NimDoor의 사용은 macOS 사용자들의 위협 환경에 큰 변화를 가져왔습니다. Mac은 오랫동안 Windows 시스템보다 안전하다고 여겨졌지만, 이 캠페인은 이제 국가 행위자들이 크로스 플랫폼 기능에 투자하고 있음을 보여줍니다. 자격 증명과 지갑을 직접적으로 고려할 때, 이러한 공격은 단순한 무작위 공격이 아니라 고부가가치 자산을 목표로 하는 계산된 전략적 침입입니다. Nim의 사용은 공격자들이 여러 플랫폼에서 재사용할 수 있는 유연하고 휴대 가능한 코드베이스를 제공하여 방어를 더 어렵고 확장 가능하게 만듭니다.
결론
북한의 NimDoor 배치는 사이버 공격 전략에 문제가 있다는 신호입니다. 공격자들은 신뢰할 수 있는 소셜 엔지니어링 미끼와 희귀한 프로그래밍 언어 및 정교한 지속성 기술을 결합하여 암호화폐 생태계에 강력한 무기를 만들었습니다. 이러한 위협을 방어하기 위해 암호화폐 회사와 macOS 사용자는 엔드포인트 보안을 강화하고, 공식 채널을 통해 모든 소프트웨어 업데이트를 검증하며, 특히 텔레그램이나 링크드인을 통해 의심스러운 소셜 접촉 시도에 대해 팀을 교육해야 합니다. 빠르게 진화하는 사이버 범죄의 전장에서는 끊임없는 경계가 필수적인 것은 아닙니다.
