북한 해킹 그룹, Web3 기업 겨냥한 새로운 수법 사용

북한 해커의 새로운 방법: 님(Nim) 멀웨어와 클릭픽스(Clickfix)

북한의 해커 그룹들은 Web3 회사를 대상으로 시스템에 접근하기 위해 취약점을 활용하는 새로운 방법들을 점점 더 채택하고 있습니다. 그 중 하나로 지정된 님도어(Nimdoor)는 애플 시스템의 높은 인기를 노려 이 시스템을 감염시키는 데 중점을 두고 있습니다.

해커 뉴스에 따르면, 이 공격은 소셜 엔지니어링을 사용하여 표적에 접근하고 줌(Zoom)과 같은 비디오 회의 소프트웨어를 이용해 회의를 설정합니다. 줌 통화를 위한 초대장은 사용자가 줌 소프트웨어를 최신 버전으로 업데이트하는 프로그램으로 보이는 링크를 포함하고 있습니다.

그러나 실제로 이 소프트웨어는 공격자가 시스템 정보를 수집하고 임의 코드를 실행할 수 있는 스크립트를 전달하여 감염된 시스템에 대한 원격 관리를 가능하게 합니다.

조사관들은 이는 북한 해커들이 애플 시스템의 기능을 무기화하여 공격을 완료하는 방법을 보여준다고 강조했습니다.

센티넬원(Sentinelone) 연구원 필 스톡스(Phil Stokes)와 라파엘레 사바토(Raffaele Sabato)는 다음과 같이 말했습니다:

님(Nim)의 다소 독특한 컴파일 시간 동안 기능을 실행할 수 있는 능력은 공격자들이 덜 분명한 제어 흐름으로 복합적인 행동을 이진 파일에 혼합할 수 있게 하며, 결과적으로 개발자 코드와 님 런타임 코드가 함수 수준에서조차 뒤섞인 컴파일된 이진 파일이 생성됩니다.

또한, 북한 그룹들은 연구원들이 베이비샤크(Babyshark)라고 명명한 캠페인에서 목표를 위한 이메일 중심의 다른 방법들도 사용하고 있습니다. 이 방법은 사용자가 문서를 열어야 할 필요성을 느끼도록 사회 공학적으로 설계된 가짜 문서를 전달합니다.

이 문서는 실제 신문사의 인터뷰 요청이나 다른 국가 방문에 관한 정보 요청, 외교 문서인 것으로 보고되었습니다.

이 그룹이 침투한 조직 내의 각종 요원들이 내부적으로 침투할 때 상황은 더욱 위험해지며, 이는 과거에 발생했던 것으로 문서화되어 있습니다. 블록체인 보안 전문가 Zackxbt에 따르면 2025년 초부터 이 회사에서 개발자로 가장하여 약 1,600만 달러 이상이 이들에게 지급되었습니다.

자세히 읽기: 북한 세탁 체계에서 ‘맹점’이 되는 미국 암호화폐 거래소