느린 물고기자리가 가짜 직업 제안으로 암호화 개발자들을 속이다

슬로우 피시스라는 이름의 북한 해킹 그룹이 가상화폐 개발자들을 속여, 채용 지원 과제로 가장한 악성 코드를 실행하게 만들고 있습니다.

이 그룹은 Jade Sleet 또는 TraderTraitor로도 알려져 있으며, 암호화폐 자산에서 10억 달러 이상을 도난당한 후에도 계속해서 북한 정권의 수입을 창출하기 위한 정교한 공격을 벌이고 있습니다.

팔로알토 네트워크의 Unit 42의 사이버 보안 연구원들에 따르면, 슬로우 피시스(Slow Pisces)는 LinkedIn에서 채용 담당자처럼 가장해 개발자들에게 연락합니다. 대화를 나눈 후에는 가짜 직무 설명서를 PDF로 보냅니다. 피해자가 지원하면 GitHub에 호스팅된 “실제 프로젝트”를 포함한 코딩 테스트가 보내집니다. 그 프로젝트는 악성 코드로 가득 차 있습니다.

이 가짜 프로젝트들은 종종 합법적으로 보이며 심지어 위키백과와 같은 실제 웹사이트에서 데이터를 끌어옵니다. 그러나 그 소스 중에는 해커들이 제어하는 하나의 악성 사이트가 숨어 있습니다. 악성 코드는 피해자의 위치와 시스템 세부 사항을 확인한 후에만 활성화되어 슬로우 피시스가 탐지를 피할 수 있게 합니다.

보안 시스템이 쉽게 탐지할 수 있는 뻔한 해킹 기법을 사용하는 대신, 공격자들은 YAML 역직렬화라는 더 은밀한 방법을 사용했습니다. 기본적으로 그들은 무해한 설정 파일처럼 보이는 내부에 위험한 코드를 숨겨서 탐지하기 어렵게 만듭니다.

설치되면 이 악성 소프트웨어는 메모리에서 실행되고 하드 드라이브에는 흔적을 남기지 않습니다. 추가적으로 RN Loader와 RN Stealer라는 악성 소프트웨어를 다운로드합니다. RN Loader는 기본 시스템 데이터를 수집하며, RN Stealer는 사용자 이름, 설치된 앱, 디렉토리 내용 등 더 민감한 정보를 수집합니다. 특히 macOS 시스템에서 많은 정보를 수집합니다.

Palo Alto Networks는 악성 LinkedIn 및 GitHub 계정을 보고했습니다. 두 플랫폼 모두 다음과 같이 반응했습니다:

“GitHub와 LinkedIn은 우리 각각의 서비스 이용 약관을 위반한 이러한 악성 계정들을 제거했습니다 […] 우리는 계속해서 우리의 절차를 발전시키고 개선하며, 우리 고객들과 회원들이 의심스러운 활동을 신고하도록 격려하고 있습니다.”

보안 전문가들은 개발자들이 요청하지 않은 코딩 도전과 직업 테스트에 연결된 URL을 주의 깊게 확인하도록 권장합니다.