북한 해커들이 AI, 암호화폐, 금융 분야 구인 사기 관련 3,100개 이상의 IP 주소를 공격했습니다

2025년에 암호화폐 시장에서 20억 달러 이상을 훔친 북한 해커들이 퍼플브라보(PurpleBravo)라는 그룹을 통해 가짜 구인 광고를 내보내며 다시 한번 물의를 일으켰습니다.

Recorded Future의 Insikt Group이 발표한 새로운 위협 정보 분석에 따르면, 북한과 연계된 해커들이 인공지능, 암호화폐, 금융 서비스 분야 기업과 관련된 3,100개 이상의 인터넷 주소를 대상으로 사이버 스파이 활동을 벌이고 있습니다. 

PurpleBravo는 악성 소프트웨어가 내장된 개발자 도구와 사기성 채용 프로세스를 사용하는 것이 적발되었습니다. Insikt Group의 평가에 따르면 현재까지 남아시아, 북미, 유럽, 중동 및 중미 지역에서 20개 피해 기업이dent되었습니다. 

북한, 가짜 채용 면접 악성코드 유포 캠페인 시작 

설명 에 따르면 , "전염성 인터뷰" 캠페인은 악의적인 공격자들이 채용 담당자나 개발자로 가장하여 구직자들에게 기술 면접을 제안하는 방식으로 진행됩니다. 보안 분석가들은 모니터링 기간 동안 최소 3,136개의 IP 주소가 공격 대상이 되었다고 밝혔습니다.

공격자들은 자신들을 암호화 및 기술 회사 담당자로 가장하여 지원자들에게 코드 검토, 저장소 복제 또는 코딩 작업 완료를 요구했습니다. 

"여러 사례에서 구직자들이 회사 기기에서 악성 코드를 실행하여 개인적인 피해를 넘어 조직 전체에 위험을 초래했을 가능성이 높습니다."라고 위협 정보 분석 업체는 보고서에서 밝혔습니다.

이 작전은 북한 해커에 대한 비공개 및 공개 정보에서 CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi, WaterPlum 등 여러 가명을 사용하고 있습니다. 

해당 사이버보안 그룹은 해커들이 아스트릴(Astrill) VPN과 IP 대역을 이용해 중국에 기반을 둔 명령 및 제어 서버를 운영했다고 밝혔습니다. 또한, 17개의 서비스 제공업체가 이들을 위해 비버테일(BeaverTail)과 고랑고스트(GolangGhost) 같은 악성코드 서버를 호스팅했다고 덧붙였습니다.

가짜 프로필, 깃허브, 우크라이나 관련 위장 스토리를 이용해 피해자를 유인하기

GitHub 저장소, 암호화폐 사기에 대한 소셜 미디어상의 논의, 해킹 네트워크 정보 서비스에 대한 조사를 통해 PurpleBravo와 연관된 4개의 온라인 페르소나를 발견했습니다

보고서에 따르면, 이러한 프로필들은 일관되게 자신들을 우크라이나 오데사에 거주하는 것처럼 가장했지만, 실제로는 남아시아 출신 구직자들을 대상으로 활동했습니다. 인식트는 왜 우크라이나dent이 이러한 속임수에 사용되었는지 파악할 수 없었다고 밝혔습니다. 

가짜 프로그램 중 하나에서 해커들은 특정 식품 브랜드를 기반으로 한 토큰을 광고하는 웹사이트를 이용했습니다. 그러나 연구원들은 해당 코인과 언급된 회사 간의 검증된 연관성을 . 사기꾼, 자동화된 봇, 악성 링크들이 해당 프로젝트의 공식 텔레그램 채널에 만연해 있습니다.

또한, 이번 작전에서는 PylangGhost와 GolangGhost라는 두 개의 관련 원격 접속 트로이목마도 발견되었습니다. 이 악성코드 계열은dent명령어를 공유하고 브라우저dent증명과 쿠키를 자동으로 탈취하는 다중 플랫폼 도구입니다.

GolangGhost는 여러 운영 체제와 호환되지만, PylangGhost는 Windows 시스템에서만 작동하며 Chrome 버전 127 이상에서 앱 연동dent증명 보호를 우회할 수 있습니다.

Insikt Group은 판매자들이 proxy-seller[.]com, powervps[.]net, residentialvps[.]com, lunaproxy[.]com, sms-activate[.]io와 같은 프록시 서비스와 가상 사설 서버를 사용하여 위치를 숨기는 방식으로 LinkedIn 및dent채널을 발견했습니다. 또한 해당 운영자는 암호화폐 거래 플랫폼인 MEXC Exchange와도 상호 작용하는 것이 확인되었습니다.

VS Code에 숨겨진 Microsoft Visual Studio 백도어

월요일, Jamf Threat Labs는 북한과 연계된 해커들이 시스템의 백도어를 찾아낼 수 있는 악성 마이크로소프트 비주얼 스튜디오 코드(Visual Studio Code) 버전을 개발했다고 발표했습니다. 보안 분석가들은 이 공격 방식이 2025년 12월에 처음dent이후 더욱 정교해졌다고 밝혔습니다.

Jamf 보안 연구원 Thijs Xhaflaire에 따르면 공격자는 시스템에 원격 코드 실행 권한을 부여하는 악성코드를 심을 수 있습니다. 감염은 대상 시스템이 악성 Git 저장소를 복제하고 VS Code에서 열면서 시작됩니다.

"프로젝트를 열면 Visual Studio Code에서 사용자에게 저장소 작성자를 신뢰할지 묻습니다. 신뢰가 허용되면 애플리케이션이 matic 으로 처리하는데, 이로 인해 시스템에서 임의의 명령이 실행될 수 있습니다."라고 Thijs Xhaflaire는 썼습니다 .

멘토십과 매일의 아이디어로 전략을 강화하세요 - 거래 프로그램