How Social Engineering Sparked a Billion-Dollar Supply Chain Cryptocurrency Heist
- 사건 개요
- 세계 2위 암호화폐 거래소 ByBit의 이더리움 콜드월렛에서 약 14억 달러 규모의 암호화폐 탈취
- 북한 연계 APT 그룹 ‘Lazarus’가 주도한 공급망 해킹 사건으로, 암호화폐 역사상 최대 규모
- 공격에 사용된 수법: 소셜 엔지니어링, 악성 Docker 프로젝트, AWS 세션 토큰 탈취, MFA 우회, 자바스크립트 파일 조작
- 공격 흐름
- 1단계: 개발자 사회공학 공격
- Lazarus는 신뢰받는 오픈소스 기여자인 척 하며 Safe{Wallet} 소속 관리자급 개발자에게 접근
- 해당 개발자는 악성 Docker 기반 Python 프로젝트를 설치함으로써 감염
- 2단계: 워크스테이션 탈취
- 악성 Docker 컨테이너가 루트 권한으로 실행되면서 공격자가 개발자 시스템을 장악
- AWS 세션 토큰 탈취 → MFA 우회 → 20일 간 지속적 시스템 접근
- 3단계: 콜드월렛 트랜잭션 탈취
- ByBit의 이더리움 콜드월렛 트랜잭션 처리 자바스크립트 파일을 조작
- 고액 트랜잭션 발생 시 해당 파일이 실행되며 북한 APT가 통제하는 지갑 주소로 자산 전송
- 1단계: 개발자 사회공학 공격
- 해킹 이후 대응 조치
- Safe{Wallet} 측 전면 인프라 리셋
- 모든 인증정보 및 시크릿 교체, 클러스터 재설정, 개발자 시스템 교체
- 트랜잭션 서비스 외부 접근 제한 및 방화벽 정책 강화
- 기존 악성코드 및 bash 기록 삭제로 인해 일부 기술 분석은 완전하지 않음
- Safe{Wallet} 측 전면 인프라 리셋
- FBI 및 제재 조치
- 미국 FBI는 이번 사건을 APT ‘TraderTraitor’로 추적**
- 2022년 이후 블록체인 기업을 노린 공격 활동 주도
- 탈취된 자산 일부는 비트코인 등으로 전환, 수천 개 지갑으로 분산 전송 중
- 향후 자금세탁 및 현금화 시도 가능성 경고
- 미국 FBI는 이번 사건을 APT ‘TraderTraitor’로 추적**
- ByBit의 대응
- 탈취 자산 회수 위한 버그바운티 프로그램 가동
- 자산 동결자 및 추적자에게 각각 회수금의 5% 보상
- 탈취 자산 회수 위한 버그바운티 프로그램 가동
- 결론
- 이번 사건은 공급망 보안, 개발자 신뢰 관리, 클라우드 세션 관리의 허점이 복합적으로 작용한 고도화된 APT 공격
- 기업은 개발 환경의 보안 강화, 소셜 엔지니어링 대응 훈련, AWS 및 클라우드 환경의 접근권한 모니터링을 강화할 필요
- 특히 콜드월렛과 같이 오프라인 보안이 전제되는 자산 보호 메커니즘에도 공급망 기반 위협 요소가 존재함을 재확인
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Strela Stealer 악성코드, Microsoft Outlook 사용자 자격 증명 탈취 공격 (0) | 2025.04.12 |
|---|---|
| PyPI 악성 패키지 ‘set-utils’, 블록체인 개발자 노리고 이더리움 지갑 개인키 탈취 (0) | 2025.04.12 |
| 마이크로소프트, 35년 역사 '퍼블리셔' 2026년 지원 종료 (0) | 2025.04.12 |
| DShield 트래픽 분석을 위한 ELK 활용 사례 (0) | 2025.04.12 |
| 고밀도 에지 컴퓨팅 서버, 실시간 데이터 처리 및 보안 강화 (0) | 2025.04.12 |