tradingkey.logo
tradingkey.logo
검색

북한 해커들이 AI, 암호화폐, 금융 분야 구인 사기 관련 3,100개 이상의 IP 주소를 공격했습니다

CryptopolitanJan 22, 2026 8:52 AM
facebooktwitterlinkedin
모든 코멘트 보기0

2025년에 암호화폐 시장에서 20억 달러 이상을 훔친 북한 해커들이 퍼플브라보(PurpleBravo)라는 그룹을 통해 가짜 구인 광고를 내보내며 다시 한번 물의를 일으켰습니다.

Recorded Future의 Insikt Group이 발표한 새로운 위협 정보 분석에 따르면, 북한과 연계된 해커들이 인공지능, 암호화폐, 금융 서비스 분야 기업과 관련된 3,100개 이상의 인터넷 주소를 대상으로 사이버 스파이 활동을 벌이고 있습니다. 

PurpleBravo는 악성 소프트웨어가 내장된 개발자 도구와 사기성 채용 프로세스를 사용하는 것이 적발되었습니다. Insikt Group의 평가에 따르면 현재까지 남아시아, 북미, 유럽, 중동 및 중미 지역에서 20개 피해 기업이dent되었습니다. 

북한, 가짜 채용 면접 악성코드 유포 캠페인 시작 

설명 에 따르면 , "전염성 인터뷰" 캠페인은 악의적인 공격자들이 채용 담당자나 개발자로 가장하여 구직자들에게 기술 면접을 제안하는 방식으로 진행됩니다. 보안 분석가들은 모니터링 기간 동안 최소 3,136개의 IP 주소가 공격 대상이 되었다고 밝혔습니다.

공격자들은 자신들을 암호화 및 기술 회사 담당자로 가장하여 지원자들에게 코드 검토, 저장소 복제 또는 코딩 작업 완료를 요구했습니다. 

"여러 사례에서 구직자들이 회사 기기에서 악성 코드를 실행하여 개인적인 피해를 넘어 조직 전체에 위험을 초래했을 가능성이 높습니다."라고 위협 정보 분석 업체는 보고서에서 밝혔습니다.

이 작전은 북한 해커에 대한 비공개 및 공개 정보에서 CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi, WaterPlum 등 여러 가명을 사용하고 있습니다. 

해당 사이버보안 그룹은 해커들이 아스트릴(Astrill) VPN과 IP 대역을 이용해 중국에 기반을 둔 명령 및 제어 서버를 운영했다고 밝혔습니다. 또한, 17개의 서비스 제공업체가 이들을 위해 비버테일(BeaverTail)과 고랑고스트(GolangGhost) 같은 악성코드 서버를 호스팅했다고 덧붙였습니다.

가짜 프로필, 깃허브, 우크라이나 관련 위장 스토리를 이용해 피해자를 유인하기

GitHub 저장소, 암호화폐 사기에 대한 소셜 미디어상의 논의, 해킹 네트워크 정보 서비스에 대한 조사를 통해 PurpleBravo와 연관된 4개의 온라인 페르소나를 발견했습니다

보고서에 따르면, 이러한 프로필들은 일관되게 자신들을 우크라이나 오데사에 거주하는 것처럼 가장했지만, 실제로는 남아시아 출신 구직자들을 대상으로 활동했습니다. 인식트는 왜 우크라이나dent이 이러한 속임수에 사용되었는지 파악할 수 없었다고 밝혔습니다. 

가짜 프로그램 중 하나에서 해커들은 특정 식품 브랜드를 기반으로 한 토큰을 광고하는 웹사이트를 이용했습니다. 그러나 연구원들은 해당 코인과 언급된 회사 간의 검증된 연관성을 . 사기꾼, 자동화된 봇, 악성 링크들이 해당 프로젝트의 공식 텔레그램 채널에 만연해 있습니다.

또한, 이번 작전에서는 PylangGhost와 GolangGhost라는 두 개의 관련 원격 접속 트로이목마도 발견되었습니다. 이 악성코드 계열은dent명령어를 공유하고 브라우저dent증명과 쿠키를 자동으로 탈취하는 다중 플랫폼 도구입니다.

GolangGhost는 여러 운영 체제와 호환되지만, PylangGhost는 Windows 시스템에서만 작동하며 Chrome 버전 127 이상에서 앱 연동dent증명 보호를 우회할 수 있습니다.

Insikt Group은 판매자들이 proxy-seller[.]com, powervps[.]net, residentialvps[.]com, lunaproxy[.]com, sms-activate[.]io와 같은 프록시 서비스와 가상 사설 서버를 사용하여 위치를 숨기는 방식으로 LinkedIn 및dent채널을 발견했습니다. 또한 해당 운영자는 암호화폐 거래 플랫폼인 MEXC Exchange와도 상호 작용하는 것이 확인되었습니다.

VS Code에 숨겨진 Microsoft Visual Studio 백도어

월요일, Jamf Threat Labs는 북한과 연계된 해커들이 시스템의 백도어를 찾아낼 수 있는 악성 마이크로소프트 비주얼 스튜디오 코드(Visual Studio Code) 버전을 개발했다고 발표했습니다. 보안 분석가들은 이 공격 방식이 2025년 12월에 처음dent이후 더욱 정교해졌다고 밝혔습니다.

Jamf 보안 연구원 Thijs Xhaflaire에 따르면 공격자는 시스템에 원격 코드 실행 권한을 부여하는 악성코드를 심을 수 있습니다. 감염은 대상 시스템이 악성 Git 저장소를 복제하고 VS Code에서 열면서 시작됩니다.

"프로젝트를 열면 Visual Studio Code에서 사용자에게 저장소 작성자를 신뢰할지 묻습니다. 신뢰가 허용되면 애플리케이션이 matic 으로 처리하는데, 이로 인해 시스템에서 임의의 명령이 실행될 수 있습니다."라고 Thijs Xhaflaire는 썼습니다 .

멘토십과 매일의 아이디어로 전략을 강화하세요 - 거래 프로그램

면책 조항: 이 웹사이트에서 제공되는 정보는 교육적이고 정보 제공을 위한 목적으로만 사용되며, 금융 또는 투자 조언으로 간주되어서는 안 됩니다.

코멘트 (0)

$ 버튼을 클릭하고, 종목 코드를 입력한 후 주식, ETF 또는 기타 티커를 연결합니다.

0/500
코멘트 가이드라인
로딩 중...

추천 기사

tradingkey.logo
* 참고자료, 분석 및 트레이딩 전략은 제3자 제공업체인 Trading Central에서 제공하며, 분석가의 독립적인 평가와 판단에 기반한 시각으로, 투자자의 투자 목표와 재정 상황은 고려되지 않습니다.
위험 경고: 저희 웹사이트와 모바일 앱은 특정 투자 상품에 대한 일반적인 정보만을 제공합니다. Finsights는 재정적 조언이나 투자 상품에 대한 추천을 제공하지 않으며, 이러한 정보 제공이 Finsights가 금융 조언이나 추천을 제공하는 것으로 해석되어서는 안 됩니다.
투자 상품은 투자 원금 손실을 포함한 상당한 투자 위험에 노출되어 있으며, 모든 사람에게 적합하지 않을 수 있습니다. 투자 상품의 과거 성과는 미래 성과를 보장하지 않습니다.
Finsights는 제3자 광고주나 제휴사가 저희 웹사이트나 모바일 앱 또는 그 일부에 광고를 게재하거나 전달할 수 있도록 허용할 수 있으며, 사용자가 광고와 상호작용하는 방식에 따라 이들로부터 보상을 받을 수 있습니다.
© 저작권: FINSIGHTS MEDIA PTE. LTD. 모든 권리 보유