라자루스 그룹, 750,000달러 이더리움 세탁과 연계되다

노스코리아와 연관된 해킹 그룹인 라자루스 그룹이 두 번의 새로운 고위험 사건으로 사이버 활동을 확대하고 있습니다.

블록체인 보안 회사인 CertiK은 3월 13일에 그룹이 약 75만 달러에 해당하는 400 이더리움(ETH)을 Tornado Cash 믹싱 서비스에 입금했다고 보고했습니다. 이것은 암호화폐 자산의 원래 출처를 숨기는 데 사용되는 도구입니다.

#CertiKInsight 🚨

우리는 이더리움에서 다음 주소에서 400 ETH의 입금을 감지했습니다:https://t.co/0lwPdz0OWi
0xdB31a812261d599A3fAe74Ac44b1A2d4e5d00901
0xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.

이 펀드는 비트코인 네트워크에서 라자루스 그룹의 활동을 추적합니다.

항상 경계하세요! pic.twitter.com/IHwFwt5uQs

— CertiK Alert (@CertiKAlert) 2025년 3월 13일

이번 움직임은 그들의 이전 비트코인 네트워크 활동과 연결되어 있으며, 이는 그룹이 고위험 해킹 이후 자금을 세탁하기 위해 지속적으로 노력하고 있음을 강조하였습니다.

라자루스 그룹은 주요 암호화폐 도난에 연루되어 악명이 높습니다. 이는 2025년 2월에 이루어진 바이빗에서의 14억 달러 해킹과, 1월에 일어난 페멕스에서의 2900만 달러 해킹을 포함하고 있습니다. 이 사실은 CoinTelegraph에서도 언급하였습니다.

블록체인 분석 회사인 Chainalysis에 따르면, 라자루스는 2024년만 해도 13억 달러 이상의 암호화폐 자산을 훔쳤으며, 이는 2023년 도난액의 두 배 이상입니다.

한편, Socket의 사이버보안 연구원들은 개발자들이 JavaScript 라이브러리를 관리하는 데 사용하는 npm 생태계를 대상으로 한 새로운 유해 패키지의 물결을 발견했습니다.

다운로드 횟수가 330회 이상인 이 6개의 유해 패키지는 BeaverTail이라는 형태의 악성 코드가 내장되어 있다는 것이 밝혀졌습니다. 이 패키지들은 타이포스쿼팅이라는 속임수 전략을 사용해 합법적인 라이브러리를 흉내내어, 개발자들이 해로운 코드를 설치하도록 속이는데, 이는 이름의 약간의 변형을 사용하는 것입니다.

Socket의 연구원들은 이번 npm 공격에서의 전략, 기술, 절차가 Lazarus의 알려진 작전과 매우 유사하다는 것을 확인했습니다. 이 패키지들은 인증 정보와 암호화폐 데이터를 포함한 민감한 정보를 훔치는 것을 목표로 설계되었으며, 동시에 영향을 받은 시스템에 백도어를 설치하기도 했습니다.

특히, Chrome, Brave, Firefox와 같은 브라우저의 파일과 macOS의 키체인 데이터를 대상으로 하였으며, 설치 과정에서 악성 소프트웨어를 간과할 수 있는 개발자들을 중점으로 포커스하였습니다.

이 공격은 라자루스가 계속해서 정교한 침투 방법을 활용하며, npm 레지스트리의 신뢰할 수 있는 이름을 이용해 오픈 소스 커뮤니티를 악용하는 것을 강조하고 있습니다. 가리기 기술이 사용되었음에도 불구하고, 연구원들은 악의적인 의도를 감지하고 패키지를 삭제하기 위해 플래그를 설정할 수 있었습니다.

라자루스가 사이버 범죄 활동을 계속함에 따라, 전문가들은 조직들이 코드와 종속성 스캔에 대한 자동 감사와 같은 더욱 엄격한 보안 조치를 채택해야 비슷한 공격을 방지할 수 있다고 경고하고 있습니다.