북한 해커, 맥OS 타깃 신종 애플 악성코드 등장…암호화폐 업계 위협
게시일:2025年07月03日 22:12
조회수:541
북한과 연계된 해킹 그룹이 웹3 및 암호화폐 업계를 표적으로 삼는 신종 악성코드 '님도어(NimDoor)'를 출시했다. 님 프로그래밍 언어로 제작된 이 정교한 맥OS 전용 악성코드는 컴파일 과정에서 코드 실행이 가능해 런타임과 악성 로직이 혼합된 바이너리를 생성한다. 이는 역공학 및 탐지 시도를 현저히 어렵게 만드는 특징이 있다.
보안기업 센티넬랩스(SentinelLabs)에 따르면, 이 공격은 2025년 4월 한 암호화폐 스타트업을 표적으로 처음 관측됐으며, 이후 동일 업계 여러 기업에서 유사 사례가 확인됐다. 공격자들은 텔레그램을 통해 피해자를 접촉한 뒤 칼렌들리(Calendly)로 미팅을 유도하는 기존 사회공학 기법을 활용했다. 이후 줌 SDK 업데이트로 위장한 악성 스크립트가 포함된 이메일을 전송하는 방식이다.
실행된 악성코드는 시스템 임시 디렉터리에 두 개의 Mach-O 바이너리를 설치한다. C++ 기반 첫 번째 바이너리는 트로이목마를 실행하는 프로세스 주입을, 님 언어로 컴파일된 두 번째 바이너리는 시스템 재부팅 후에도 지속적인 악성 활동을 보장하는 잠복 도구를 설치한다. 최종적으로 'GoogIe LLC'와 'CoreKitAgent' 두 님 기반 바이너리가 추가 배포되어 장기간 시스템 접근 및 모니터링을 수행한다.
센티넬랩스는 북한이 고(Go), 러스트(Rust), 크리스탈(Crystal) 등 비주류 프로그래밍 언어를 활용한 사이버 공격을 지속 확대하고 있다고 경고했다. 이번 사태는 지속되는 북한의 암호화폐 표적 공격 사례 중 최신 사례로, 올해 4월 가짜 미국 법인을 통해 개발자를 노린 사례와 연관이 있는 것으로 분석된다. 북한 해커들은 2024년 총 13억 달러(약 1.7조 원) 규모의 암호자산을 탈취한 것으로 알려졌다.
보안기업 센티넬랩스(SentinelLabs)에 따르면, 이 공격은 2025년 4월 한 암호화폐 스타트업을 표적으로 처음 관측됐으며, 이후 동일 업계 여러 기업에서 유사 사례가 확인됐다. 공격자들은 텔레그램을 통해 피해자를 접촉한 뒤 칼렌들리(Calendly)로 미팅을 유도하는 기존 사회공학 기법을 활용했다. 이후 줌 SDK 업데이트로 위장한 악성 스크립트가 포함된 이메일을 전송하는 방식이다.
실행된 악성코드는 시스템 임시 디렉터리에 두 개의 Mach-O 바이너리를 설치한다. C++ 기반 첫 번째 바이너리는 트로이목마를 실행하는 프로세스 주입을, 님 언어로 컴파일된 두 번째 바이너리는 시스템 재부팅 후에도 지속적인 악성 활동을 보장하는 잠복 도구를 설치한다. 최종적으로 'GoogIe LLC'와 'CoreKitAgent' 두 님 기반 바이너리가 추가 배포되어 장기간 시스템 접근 및 모니터링을 수행한다.
센티넬랩스는 북한이 고(Go), 러스트(Rust), 크리스탈(Crystal) 등 비주류 프로그래밍 언어를 활용한 사이버 공격을 지속 확대하고 있다고 경고했다. 이번 사태는 지속되는 북한의 암호화폐 표적 공격 사례 중 최신 사례로, 올해 4월 가짜 미국 법인을 통해 개발자를 노린 사례와 연관이 있는 것으로 분석된다. 북한 해커들은 2024년 총 13억 달러(약 1.7조 원) 규모의 암호자산을 탈취한 것으로 알려졌다.
관련 태그
북한 해킹
암호화폐 보안
맥OS 악성코드
웹3 보안
사회공학 기법