경영 요약
북한이 지원하는 해킹 집단인 BlueNoroff는 다양한 애플리케이션 및 Web3 관련 서비스에서 중요한 데이터와 자격 증명을 침해하기 위해 특별히 설계된 새로운 악성코드인 SilentSiphon을 배포했습니다. 이 정교한 위협은 기술 임원 및 Web3 개발자를 포함한 macOS 사용자를 표적으로 삼아 디지털 자산 보안에 대한 우려를 불러일으키고 있습니다.
사건 세부 사항
SilentSiphon은 민감한 정보를 수집하고 유출하도록 설계된 여러 bash 스크립트로 구성된 스틸러 제품군입니다. 이 악성코드는 Apple Notes, Telegram, 웹 브라우저 확장 프로그램, 그리고 브라우저 및 비밀번호 관리자에 저장된 자격 증명에서 데이터를 수집할 수 있습니다. 또한, GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP와 같은 광범위한 서비스 및 Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes, OpenAI와 같은 여러 주요 블록체인 플랫폼과 관련된 구성 파일 내의 비밀을 표적으로 합니다.
이 활동은 악명 높은 Lazarus Group의 하위 클러스터인 BlueNoroff에 귀속되며, APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet(이전 Copernicium), Stardust Chollima로도 식별됩니다. SilentSiphon 배포는 2017년부터 활성화된 포괄적인 SnatchCrypto 작전의 일부인 더 큰 캠페인 GhostCall 및 GhostHire의 일환입니다.
GhostCall의 피해자들은 일본, 이탈리아, 프랑스, 싱가포르, 터키, 스페인, 스웨덴, 인도, 홍콩의 여러 macOS 호스트에서 관찰되었습니다. 이 캠페인은 주로 Telegram과 같은 플랫폼을 통해 기술 및 벤처 캐피탈의 임원들에게 직접 접근하고 Zoom과 유사한 피싱 웹사이트에서 투자 관련 회의로 유인하여 표적으로 삼습니다. 주로 일본과 호주에 영향을 미치는 GhostHire 캠페인은 Web3 개발자를 중점적으로 다룹니다. 공격자들은 Telegram에서 표적에 접근하여 기술 평가를 가장하여 악성 GitHub 저장소를 다운로드하고 실행하도록 유인합니다.
악성코드 작동의 기술적 해체
SilentSiphon은 일련의 bash 스크립트로 작동합니다. 초기 감염 후(일반적으로 CosmicDoor를 통해) 여러 셸 스크립트가 생성되어 공격자의 명령 및 제어(C2) 서버로 데이터 수집 및 유출을 용이하게 합니다. 핵심 구성 요소인 upl.sh는 오케스트레이션 런처 역할을 하여 피해자 시스템에 특화된 다양한 독립형 데이터 추출 모듈을 집계합니다. 이 모듈식 접근 방식은 침해된 환경에 맞게 포괄적인 데이터 수집을 가능하게 하여 단일 위협 벡터용으로 설계된 표준 보안 조치를 효과적으로 우회합니다.
시장 영향
SilentSiphon의 등장과 지속적인 BlueNoroff 캠페인은 Web3 생태계 내에서 증가하는 사이버 보안 위험을 강조합니다. 블록체인 관련 서비스 및 개발자 도구를 직접 표적으로 삼는 것은 사용자 신뢰를 침식하고 분산형 기술의 광범위한 채택을 방해할 수 있습니다. 사회 공학을 활용하고 일반적으로 사용되는 플랫폼을 악용하는 이러한 공격의 정교한 특성은 디지털 자산에 참여하는 개별 사용자 및 기관 모두에게 높아진 경계의 필요성을 시사합니다.
Web3 보안의 광범위한 맥락은 불안정한 환경을 나타냅니다. 2025년 1분기에는 Web3 부문에서 20억 달러 이상의 손실이 기록되었으며, 이는 2024년 1분기 대비 96% 증가한 수치입니다. 접근 제어 악용만으로 이 기간 동안 16억 달러 이상의 손실이 발생했습니다. 스마트 계약 악용은 2900만 달러의 피해로 더 적은 비중을 차지했지만, SilentSiphon과 같은 피싱 및 직접 데이터 절도 방법의 만연한 특성은 전반적인 금융 불안정성에 크게 기여합니다.
전문가 논평 및 모범 사례
보안 전문가들은 Web3 공간에서 강력한 사이버 보안 관행의 중요성을 강조합니다. 개인 및 조직은 신뢰할 수 있는 지갑, 특히 확립된 보안 기능과 입증된 실적을 가진 지갑을 채택하는 것이 좋습니다. 최신 보안 패치를 적용하려면 소프트웨어를 정기적으로 업데이트하는 것이 가장 중요합니다. 하드웨어 장치 또는 안전한 종이 백업에 개인 키를 오프라인으로 저장하는 콜드 지갑 사용은 사이버 공격 위험을 크게 완화하기 위해 강력히 권장됩니다. 또한, 개인 키 또는 시드 문구를 누구와도 공유하지 않는다는 기본적인 원칙은 디지털 자산 보안의 초석으로 남아 있습니다. 고급 보안 도구와 규율 있는 사용자 행동을 결합한 이러한 사전 예방적 접근 방식은 SilentSiphon과 같은 진화하는 위협에 대응하고 Web3 환경 내에서 자산을 보호하는 데 필수적입니다.
광범위한 맥락
SnatchCrypto와 같은 작전을 통해 Web3 및 블록체인 부문을 지속적으로 표적으로 삼는 BlueNoroff는 북한 국가 지원 행위자들로부터의 지속적이고 진화하는 위협을 강조합니다. 정교한 사회 공학 및 다재다능한 악성코드 개발을 포함하는 그들의 전술은 사이버 절도를 통한 재정적 이득에 대한 전략적 초점을 반영하며, 종종 디지털 자산 공간의 고가치 개인 및 조직을 표적으로 합니다. 이러한 공격의 빈도와 정교함의 증가는 사이버 보안 방어의 지속적인 혁신과 미래 침입에 대비하기 위한 Web3 커뮤니티 전반의 협력 노력을 필요로 합니다. 이 추세는 분산 경제에서 증가하는 재정적 이해관계와 일치하며, 이를 충분한 자원을 가진 국가 행위자에게 매력적인 표적으로 만듭니다. 이러한 위협에 대한 산업의 대응은 장기적인 보안 태세와 탄력성을 형성하는 데 중요할 것입니다。
Edgen Crypto·Oct 29 2025, 00:43