북한 해커 조직 “HexagonalRodent”가 AI를 활용해 Web3 개발자들을 산업화 공격하며, 3개월 동안 1,200만 달러 이상의 암호 자산을 탈취했다

네트워크 보안 회사 Expel의 연구 보고서에 따르면, 이 회사는 북한(DPRK) 국가 지원 APT 조직 "HexagonalRodent"를 추적하고 있으며, 이 조직은 Web3 개발자를 주요 목표로 삼고 고가치 디지털 자산인 암호화폐와 NFT를 전문적으로 훔치고 있습니다.

이 조직은 주로 허위 채용 정보를 통해 공격을 수행합니다. LinkedIn 및 Web3 채용 플랫폼에 고액 연봉 직위를 게시하여 구직자가 내장된 악성 코드가 포함된 "기술 테스트"를 완료하도록 유도하고, VSCode의 tasks.json 기능을 이용해 피해자가 프로젝트 폴더를 열 때 악성 프로그램을 자동으로 실행합니다. 사용된 악성 소프트웨어에는 BeaverTail, OtterCookie 및 InvisibleFerret가 포함되어 있으며, 이들은 비밀번호 도용, 원격 제어 및 역방향 셸 기능을 갖추고 있습니다.

주목할 점은 이 조직이 ChatGPT, Cursor와 같은 생성적 AI 도구를 대량으로 활용하여 악성 소프트웨어를 개발하고, 가짜 회사 웹사이트 및 AI 생성 경영진 팀을 구축하며, 심지어 멕시코에 페이퍼 컴퍼니를 등록하여 공격의 신뢰성을 높였다는 것입니다. 또한, 이 조직은 최근 처음으로 공급망 공격을 수행하여 VSCode 확장을 성공적으로 해킹했습니다.