구글에 따르면, DPRK 그룹 UNC5342는 EtherHiding을 이용해 백도어를 전송하고 암호화폐를 탈취했는데, 이는 저항적 공격(resistant attacks)을 위해 설계된 전술이 국가 주체에 의해 사용된 최초의 사례입니다.
구글의 위협 인텔리전스 그룹(GTIG)의 새로운 연구에 따르면, 북한의 국가 후원 해킹 그룹이 악성 페이로드를 호스팅하기 위해 퍼블릭 블록체인 네트워크를 활용하고 있는 것으로 나타났습니다. "EtherHiding"이라 알려진 이 캠페인은 국가 지원 행위자가 탐지를 회피하고 억제 조치(takedown)를 방해하기 위해 스마트 계약을 이용한 악성코드 배포를 도입한 최초의 사례로 기록되었습니다.
구글은 이러한 활동의 배후를 UNC5342라는 그룹에 짚었으며, 이 그룹은 개발자와 암호화폐 전문가를 표적으로 하는 장기간의 "Contagious Interview" 작전과 연관되어 있다고 밝혔습니다. 2025년 2월 EtherHiding 기법이 처음 관찰된 이 그룹의 최신 툴킷에는 JADESNOW라는 이름의 JavaScript 다운로더가 포함되어 있습니다. 이 다운로더는 BNB 스마트 체인 및 이더리움 스마트 계약에 저장된 데이터에서 백도어인 INVISIBLEFERRET을 직접 획득하여 실행합니다.
이 그룹의 페이로드 전달 메커니즘은 읽기 전용(read-only) 블록체인 호출에 기반합니다. 이러한 요청은 새로운 트랜잭션을 생성하거나 블록체인 분석 도구에 가시적인 흔적을 남기지 않으며, 계약 자체가 불변(immutable)하기 때문에 방어자들이 임베딩된 스크립트를 제거할 수 없습니다.
이 기술은 위협 행위자들이 배포 사이트나 클라이언트를 재감염시킬 필요 없이, 온체인(on-chain)에서 계약 저장 변수(storage variables)를 재작성하여 악성 페이로드를 업데이트하거나 교체할 수 있도록 합니다. 과거 재정적 동기를 가진 행위자들도 이 인프라를 사용한 사례가 있으나, 구글은 이번이 국가 후원 그룹이 이 기법을 작전 툴킷에 통합한 최초의 사례라고 강조했습니다.
구글의 보고서는 이 블록체인 인프라가 손상된 워드프레스 사이트와 암호화폐 개발자를 유인하기 위해 설계된 가짜 취업 인터뷰 같은 소셜 엔지니어링 유도를 통해 실제 감염 사례로 이어지고 있음을 보여줍니다. 피해자가 이러한 사이트에 접속하면 JADESNOW 로더를 수신하고, 이 로더는 온체인 스마트 계약에 접근하여 JavaScript 페이로드를 검색한 후 로컬에서 실행합니다. 이 페이로드는 궁극적으로 INVISIBLEFERRET—원격 제어 기능을 갖추어 장기적인 스파이 활동과 데이터 절도를 가능하게 하는 완전한 기능을 갖춘 백도어—를 실행하게 됩니다.
구글은 스마트 계약 데이터가 구체적으로 어떻게 검색되었는지 명시하지 않았지만, 이전 EtherHiding 연구에 따르면 공격자들은 종종 공개 또는 호스팅 인프라를 통하는 표준 JSON-RPC 호출에 의존하는 것으로 나타났습니다. 따라서 이러한 서비스를 차단하거나 클라이언트가 정책 제한을 가진 자체 호스팅 노드를 사용하도록 강제하는 것이 임시적인 방어책이 될 수 있습니다. 브라우저 측면에서는, 조직이 엄격한 확장 및 스크립트 실행 정책을 시행하고, 가짜 크롬(Chrome) 스타일 알림이 확산되는 것을 막기 위해 업데이트 워크플로우를 통제해야 합니다.
최신 뉴스와 분석, 리뷰를 피드에서 받아보려면 구글 뉴스에서 Tom's Hardware를 팔로우하거나 즐겨찾는 소스로 추가하세요.