보고서: 라자루스 그룹, 암호화폐 악성코드 캠페인에서 Github, NPM 패키지 악용

보안 연구원들이 Lazarus Group과 연관된 오픈소스 멀웨어 공격의 증가에 대해 경고합니다

Computing.co.uk 보고서에 따르면, Lazarus Group는 “Successfriend”라는 가명을 사용하여 GitHub 프로젝트에 유해한 자바스크립트를 주입하고, 블록체인 엔지니어들이 의존하는 NPM 도구를 억제했습니다. “Operation Marstech Mayhem”이라는 코드명 하에 소프트웨어 공급망의 약점을 악용하여 Metamask, Exodus, Atomic와 같은 지갑에 침투하도록 설계된 Marstech1 멀웨어를 배포합니다.

Marstech1은 감염된 장치에서 암호화폐 지갑을 찾고, 브라우저 설정을 조작하여 몰래 거래를 재배치합니다. 이 코드는 무해한 시스템 활동으로 가장하여 보안 스캔을 피하고, 지속적인 데이터 추출을 허용합니다. Computing.co.uk는 2025년의 두 번째 GitHub 기반 침해 사례로, 2025년 1월 공격자들이 플랫폼의 도달 범위를 이용해 악성 소프트웨어를 전파한 사건과 동일하다고 말합니다.

보고서는 또한 Securityscorecard가 미국, 유럽, 아시아에 걸쳐 233개의 손상된 엔티티를 확인했고, 2024년 7월부터 운영된 Lazarus 관련 스크립트를 발견했으며, 이 해에는 오픈소스 멀웨어 사건이 세 배 이상 증가했다고 언급합니다. 유사한 전략은 2025년 1월에 등장하여 Deepseek AI 유틸리티로 가장한 가짜 파이썬 라이브러리가 개발자 로그인을 수확하기 위해 PyPI에서 제거되었습니다.

분석가는 오픈소스 유비쿼티와 서로 얽힌 개발 파이프라인으로 인해 2025년에 이러한 침입이 크게 증가할 수 있다고 경고합니다. Computing.co.uk는 Security Week 기사가 세계경제포럼(WEF)의 공급망 취약성을 주요 사이버 보안 위협으로 최근 분류한 것을 인용했다고 설명합니다.

Lazarus의 최신 노력은 필수 기술 프레임워크를 대상으로 한 정부 지원 디지털 첩보 활동의 고도화된 전술을 상징합니다. Computing.co.uk는 전 세계 기관들이 제삼자 코드 통합을 꼼꼼히 점검하고 검토 메커니즘을 강화하도록 조언한다고 언급합니다.