North Korean Hackers Target Freelance Developers in Job Scam to Deploy Malware
- DeceptiveDevelopment 캠페인 개요
- 북한 Lazarus 그룹 관련 활동으로 확인
- 전 세계 프리랜서 개발자 대상으로 가짜 채용 공고 활용
- 암호화폐 지갑 및 브라우저 로그인 정보 탈취 목표
- 공격 방식 및 과정
- 초기 침투
- 가짜 채용담당자 계정을 통한 소셜 미디어 및 프리랜서 플랫폼 접근
- GitHub, GitLab, Bitbucket에 호스팅된 트로이 목마 코드베이스 전달
- 악성 코드 실행
- 피해자에게 코드 빌드 및 실행 요구
- 프로젝트 내 단일 코드 라인에 악성 기능 포함
- 추가 감염 기법
- 악성코드 포함된 화상회의 소프트웨어 설치 유도
- MiroTalk, FreeConference 등 가짜 앱 사용
- 초기 침투
- 악성코드 구성 요소 및 기능
- BeaverTail
- 페이로드 다운로드 및 실행 기능
- JavaScript 및 Qt 기반 네이티브 버전 존재
- InvisibleFerret
- 정보 수집 및 명령 제어 기능 수행
- 세부 모듈
- pay: 키로깅, 클립보드 감시, 쉘 명령 실행 및 파일 탈취
- bow: 브라우저 저장 로그인 및 결제 정보 탈취
- adc: AnyDesk 설치 통한 지속성 확보
- BeaverTail
- 주요 피해 대상 및 영향
- 암호화폐 및 탈중앙화 금융(DeFi) 프로젝트 관련 개발자
- 주요 피해국: 미국, 인도, 핀란드, 이탈리아, 스페인 등
- 광범위한 피해를 노리고 전 세계 개발자 무차별 타깃
- 결론
- 외부 채용 공고 및 프로젝트 요청 시 코드 리뷰 철저
- 외부 저장소 코드 실행 전 무결성 검증
- 개인 및 기업 계정 보호를 위한 다중 인증(MFA) 적용
- 화상회의 소프트웨어 설치 시 공식 사이트 이용 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| PCI DSS 4.0의 DMARC 필수 준수 요구사항 및 대응 전략 (0) | 2025.02.24 |
|---|---|
| Signal 앱의 '연결된 장치' 기능 악용을 통한 계정 탈취 공격 분석 (0) | 2025.02.24 |
| 북한 해킹 조직의 Dropbox 및 PowerShell 스크립트 악용 공격 분석 (0) | 2025.02.24 |
| BlackLock 랜섬웨어, Windows, VMware ESXi 및 Linux 환경 공격 (0) | 2025.02.24 |
| 서버리스 컴퓨팅의 현실과 하이브리드 접근의 필요성 (0) | 2025.02.23 |