Bybit 해킹, 북한 해커 그룹 라자루스의 공급망 공격으로 확인

Bybit Hack Traced to Safe{Wallet} Supply Chain Attack Exploited by North Korean Hackers

 

• Bybit 해킹 사건 개요
  • 미 연방수사국(FBI)은 Bybit 거래소에서 발생한 15억 달러 규모의 암호화폐 해킹을 북한 해커 그룹과 연계
  • Bybit CEO 벤 저우(Ben Zhou)는 라자루스 그룹과의 "전면전"을 선언
  • FBI는 이번 공격을 TraderTraitor(Jade Sleet, Slow Pisces, UNC4899) 클러스터와 연관지음
  • 해커들은 탈취한 자산을 비트코인 및 기타 가상자산으로 변환한 후 여러 블록체인 주소에 분산
• 공격 방식 및 연관된 공격 그룹
  • TraderTraitor 그룹은 Web3 기업을 타겟으로 암호화폐 관련 악성 앱 배포 및 피싱 공격 수행
  • DMM Bitcoin(2024년 5월, 3억 800만 달러 피해) 사건과 동일한 공격 그룹
  • 공급망 공격을 통해 Safe{Wallet}의 인프라를 악용하여 공격 수행
  • Bybit가 사용하는 Ethereum 다중 서명 콜드 월렛을 표적으로 공격 설계됨
• 해킹 경로 및 공급망 공격 분석
  • 조사기관 Sygnia, Verichains는 Safe{Wallet}의 인프라에서 악성 코드 유입 확인
  • 2025년 2월 19일 15:29:25 UTC에 Safe.Global 웹사이트의 정적 JavaScript 파일이 악성 코드로 교체됨
  • 2025년 2월 21일 14:13:35 UTC Bybit의 다음 거래가 실행될 때 공격 발동
  • AWS S3 또는 CloudFront 계정/API 키 유출 가능성이 제기됨
• 개발자 시스템 침해 및 사회공학적 공격
  • Safe{Wallet} 측은 개발자 시스템이 해킹당한 후 악성 트랜잭션이 제안된 것으로 분석
  • Lazarus 그룹은 개발자 인증정보 탈취 및 제로데이 익스플로잇을 결합한 공격 기법을 사용한 것으로 추정
  • Silent Push 조사에 따르면, 공격 발생 수 시간 전(2025년 2월 20일 22:21:57 UTC) bybit-assessment[.]com 도메인 등록이 확인됨
  • WHOIS 기록에 따르면, 해당 도메인은 Lazarus 그룹이 사용했던 trevorgreer9312@gmail[.]com 이메일로 등록됨
• 라자루스 그룹의 위협 및 추가 공격 패턴
  • LinkedIn을 통한 가짜 취업 인터뷰 사기(Contagious Interview 캠페인)도 Lazarus 그룹의 활동으로 확인
  • 피해자는 가짜 인터뷰를 통해 악성코드에 감염되며, 이후 자격 증명 탈취 및 금융 자산 해킹으로 이어짐
  • 2017년 이후 북한 해커 그룹이 탈취한 암호화폐 규모는 총 60억 달러 이상
  • 이번 Bybit 해킹으로 2024년 47건의 암호화폐 해킹을 통해 북한 해커들이 훔친 13.4억 달러 기록을 초과
• Bybit의 대응 및 보안 조치
  • Bybit는 탈취된 자산 회수를 위한 현상금 프로그램(bounty program) 발표
  • 거래소 및 블록체인 프로젝트들과 협력하여 자산 동결 및 이동 추적 요청
  • Safe{Wallet}은 보안 조치를 추가하고 공격 벡터를 차단하는 조치 진행
• 결론
  • 북한 해커 그룹은 암호화폐 거래소 및 Web3 기업을 주요 타겟으로 삼고 있음
  • 공급망 공격, 개발자 인증정보 탈취, 사회공학적 공격을 복합적으로 활용
  • 암호화폐 기업은 클라우드 환경의 API 키 보호, 소프트웨어 서명 검증, 취약점 점검 강화 필요
  • 거래소 및 기업들은 KYC 절차 강화, 스마트 계약 보안 검토, 다중 서명 지갑 보호 조치를 필수적으로 적용해야 함