라자루스

AhnLab이 발표한 《2025 네트워크 위협 트렌드 및 2026 보안 전망》 보고서에 따르면, 북한 배경의 해커 조직 Lazarus가 지난 12개월 동안 가장 많이 언급되었으며, 주로 "피싱(타겟형) 공격"을 통해 공격을 수행하고, 종종 강의 초대, 면접 요청 등의 이메일로 목표를 유인합니다. 보고서에 따르면, Lazarus는 올해 2월 21일 Bybit 해킹 사건(손실 14억 달러) 및 최근 한국 거래소 Upbit에서 발생한 3000만 달러 규모의 취약점 공격을 포함한 여러 주요 공격의 주요 용의자로 여겨집니다.AhnLab은 보안을 강화하기 위해 기업이 정기적인 보안 감사, 신속한 패치 업데이트 및 직원 교육 강화 등 다층 방어 체계를 구축해야 한다고 밝혔습니다. 또한 개인 사용자에게는 다중 인증 사용, 알 수 없는 링크 및 첨부파일에 대한 신중한 처리, 개인 정보의 과도한 노출을 피하고, 공식 채널에서만 콘텐츠를 다운로드할 것을 권장합니다. AhnLab은 AI 응용 프로그램의 보급에 따라 공격자가 식별하기 어려운 피싱 이메일, 위장 페이지 및 딥페이크 콘텐츠를 생성하기가 더 쉬워질 것이며, 향후 관련 위협이 더욱 복잡해질 수 있다고 지적했습니다.（Cointelegraph）

据韩联社报道，韩国虚拟资产交易所 Upbit 遭遇黑客攻击，价值 445 亿韩元的虚拟资产被盗。目前，朝鲜侦察总局旗下的黑客组织 Lazarus Group 被高度怀疑是此次事件的幕后黑手。当地时间，韩联社从信息通信技术（ICT）行业及韩国政府相关部门获悉，鉴于朝鲜侦察总局下属黑客组织 Lazarus Group 有较大作案嫌疑，当局正在对 Upbit 开展现场检查工作。该黑客组织曾被指参与 2019 年 Upbit 价值 580 亿韩元以太坊的盗窃案。政府相关人士称："此次攻击不太可能是针对服务器的，更有可能的情况是窃取了管理员账户，或者伪装成管理员进行资金转账。"他还表示："就目前掌握的情况来看，6 年前黑客就是采用这种方式实施攻击的，所以推测此次也是同样的作案方式。"。

ChainCatcher 메시지, EurekaTrading 창립자 Kuan Sun이 피싱 공격으로 인해 1,300만 달러를 거의 잃을 뻔한 사건을 회고하는 트윗을 올렸습니다: 2025년 9월 2일, 그의 지갑에 약 1,300만 달러 자산이 Lazarus 해커 조직에 의해 도난당할 뻔했으며, 보안 팀이 긴급하게 대응하여 결국 자금을 회수했습니다.사건의 발단은 겉보기에는 정상적인 Zoom 회의 초대였지만, 실제로는 정교하게 설계된 피싱 함정이었습니다. 해커는 "반숙한" 관계, 딥페이크 비디오 및 위조된 Rabby 플러그인을 이용하여 피해자 Venus의 포지션에 맞춤형 공격을 감행했습니다. 가짜 플러그인 조작을 믿고 출금을 실행하면서 자산이 연대 책임으로 이전될 위험에 처했습니다. PeckShield, SlowMist, Venus 및 여러 보안 팀이 신속하게 대응하여 프로토콜을 중단하고 위험을 조사하여 결국 자금 도난을 막았습니다. 하드웨어 지갑이 만능은 아니며, 플러그인과 프론트엔드가 탈취당할 위험이 여전히 존재합니다; Zoom 링크, 업그레이드 팝업, 반숙한 관계는 모두 공격의 진입점이 될 수 있습니다.

ChainCatcher 메시지에 따르면, The Telegraph의 보도에 의하면, 영국에 등록된 암호화폐 플랫폼 Lykke가 해커에게 약 1700만 파운드(약 2280만 달러) 상당의 비트코인과 이더리움을 도난당해 운영 중단을 강요받고 올해 3월 청산되었습니다. 영국 재무부 산하 OFSI 보고서에 따르면, 해커는 북한의 Lazarus 조직에 속하며, 자금은 군사 및 핵 프로젝트에 사용되었습니다. Lykke 창립자 Richard Olsen은 파산이 선언되었으며, 사건은 여전히 조사 중입니다.

ChainCatcher 메시지, 느린 안개 보안 팀의 최신 정보에 따르면, 북한의 Lazarus 해커 조직이 OtterCookie라는 새로운 유형의 스파이 트로이 목마를 사용하여 암호화폐 및 금융 종사자를 대상으로 한 표적 공격을 감행하고 있습니다.총 수법에는 고액 연봉 직무 면접/투자자 상담을 위조하는 것, 딥페이크(Deepfake) 비디오를 사용하여 채용자를 가장하는 것, 악성 소프트웨어를 "프로그래밍 테스트 문제" 또는 "시스템 업데이트 패키지"로 위장하는 것이 포함됩니다.탈취 대상에는 브라우저에 저장된 로그인 자격 증명, macOS 키체인에 있는 비밀번호 및 디지털 인증서, 그리고 암호화 지갑 정보 및 개인 키가 포함됩니다.느린 안개는 자발적으로 제공되는 직무/투자 제안에 대해 경계를 유지하고, 원격 면접 시 다중 인증을 요구하며, 출처가 불분명한 실행 파일을 절대 실행하지 말고, 특히 이른바 "기술 테스트 문제"나 "업데이트 패치"에 대해 주의하며, 단말기 보호(EDR)를 강화하고, 백신 소프트웨어를 배포하며 정기적으로 비정상 프로세스를 점검할 것을 권장합니다.

ChainCatcher 메시지에 따르면, Cointelegraph는 BitMEX가 북한의 Lazarus Group 해커의 사이버 공격을 차단했다고 보도했습니다. 이 해커들은 LinkedIn에서 가짜 NFT 협력 제안을 통해 직원들을 겨냥했습니다. BitMEX는 해커의 전략이 복잡하지 않다고 밝혔습니다.전해진 바에 따르면, Lazarus Group은 LinkedIn에서 BitMEX 직원 한 명에게 연락하여 NFT 파트너십을 제안했으며, 실제 목표는 해당 직원이 GitHub 저장소에서 악성 코드를 실행하도록 유도하는 것이었습니다. 직원은 코드 저장소를 검토한 후 의심스러운 코드를 표시했고, BitMEX의 보안 팀은 신속하게 조사하여 혼란스러운 JavaScript를 식별하고 Lazarus와 관련된 인프라를 추적했습니다.

ChainCatcher 메시지에 따르면, Finance Feeds는 북한 해커 조직 Lazarus Group이 최근 공격 대상을 개인 투자자로 전환했으며, 5월 24일 악성 소프트웨어를 통해 한 상점에서 520만 달러 이상을 탈취했다고 보도했습니다. 도난당한 자금은 거래소 지갑, 다중 서명 지갑 및 외부 계좌를 포함한 여러 지갑 유형과 관련이 있습니다.블록체인 분석가 ZackXBT는 해커가 믹서 Tornado Cash를 통해 약 1000 ETH를 전송한 것을 추적했습니다.보안 전문가들은 개인 투자자에게 다음과 같은 방어 조치를 취할 것을 권장합니다: 대규모 자산을 하드웨어 지갑에 저장하고, 이중 인증을 활성화하며, 소프트웨어 패치를 정기적으로 업데이트하고, 의심스러운 링크에 주의하며, 거래 기록을 정기적으로 확인하는 것입니다. 이번 공격은 해당 조직이 기관을 대상으로 하는 전략에서 개인 투자자로 전환하는 변화를 나타냅니다.

ChainCatcher 메시지에 따르면, Cointelegraph는 Manta Network의 공동 창립자 Kenny Li가 매우 복잡한 피싱 공격을 공개했다고 보도했습니다. 공격자는 Zoom 화상 통화에서 실제 팀원의 비디오 영상을 사용하여 악성 소프트웨어를 다운로드하도록 유도하려 했습니다.Li는 화상 통화 중 상대방의 카메라가 켜져 있고 얼굴이 실제로 보였지만, 소리는 들리지 않았으며, 시스템에서 Zoom을 업데이트하고 스크립트 파일을 다운로드하라는 메시지가 나타나 그의 경계를 불러일으켰다고 말했습니다. 그는 이번 공격이 북한 국가 지원 해커 조직인 Lazarus에 의해 발생했을 가능성이 있다고 생각합니다. 공격자는 Telegram을 통해 신원을 확인해 달라는 요청을 받은 후 모든 메시지를 삭제하고 그를 차단했습니다.

ChainCatcher 메시지에 따르면, Spot On Chain 모니터링 결과, 오늘 Lazarus Group(북한 해커)이 40.78개의 WBTC(약 351만 달러)를 판매하여 251만 달러(+251%)의 수익을 올렸습니다 -- 이는 그들이 2년 전에 구매한 것입니다.그들은 2023년 2월에 약 24521달러의 가격으로 99.9만 달러를 들여 WBTC를 구매했으며, 12시간 전에 약 86170달러의 가격으로 1857개의 ETH로 판매했습니다. 해커는 이후 이 이더리움을 3개의 지갑에 분산시켰습니다.

ChainCatcher 메시지에 따르면, Arkham 데이터에 의하면 북한 해커 조직 Lazarus Group이 27분 전에 미지의 주소로 12.929 BTC를 전송했습니다. 최신 데이터에 따르면, Lazarus Group의 BTC 보유량은 1.344만 개로 감소했으며, 가치는 약 11.6억 달러에 해당합니다.

ChainCatcher 메시지에 따르면, Wemade의 블록체인 자회사 Wemix 재단이 해킹 공격으로 약 865만 개의 WEMIX 토큰(약 622만 달러 가치)을 잃었다고 밝혔으며, CEO Kim Seok-hwan은 해커가 북한 조직 Lazarus Group이 아닐 가능성이 높고, 전문 해커가 NFT 플랫폼 Nile의 서비스에서 인증 키를 도용하여 시스템에 침투했다고 전했다. 해커는 이번 공격을 위해 2개월 동안 준비했으며, 비정상 거래를 생성하여 15회의 출금 시도를 했고, 그 중 13회가 성공했다.Kim Seok-hwan은 또한 금요일에 Wemix의 모든 서비스를 재개할 계획이며, 새로운 블록체인 인프라에서 보안 조치를 업그레이드할 것이라고 밝혔다.

ChainCatcher 메시지에 따르면, Bitcoin.com News는 북한 해커 조직인 Lazarus Group이 Bybit를 공격한 후 일부 도난 자산을 비트코인으로 교환하기 시작했다고 보도했습니다. 데이터에 따르면 이 그룹은 현재 13562 BTC를 보유하고 있으며, 이는 약 11.4억 달러에 해당합니다. 이로 인해 북한의 비트코인 보유량이 계속 증가하고 있으며, 현재 엘살바도르(6117 BTC)와 부탄(10635 BTC)을 초과하여 전 세계에서 비트코인 보유량이 세 번째로 큰 정부 기관이 되었습니다. 이는 미국(198109 BTC)과 영국(61245 BTC)에 이어 두 번째입니다.

ChainCatcher 메시지에 따르면, Decrypt는 Socket 연구팀이 새로운 공격에서 북한 해커 조직 Lazarus와 관련된 여섯 개의 새로운 악성 npm 소프트웨어 패키지를 발견했다고 보도했습니다. 이 패키지들은 사용자 자격 증명을 훔치기 위해 백도어를 배포하려고 시도합니다.또한, 이 악성 소프트웨어는 암호화폐 데이터를 추출하고 Solana 및 Exodus 암호 지갑의 민감한 정보를 훔칠 수 있습니다. 공격은 주로 Google Chrome, Brave 및 Firefox 브라우저의 파일과 macOS의 키체인 데이터를 겨냥하며, 개발자가 무심코 이러한 악성 소프트웨어 패키지를 설치하도록 유도합니다.이번에 발견된 여섯 개의 악성 소프트웨어 패키지는 다음과 같습니다: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency 및 auth-validator. 이들은 "typosquatting"(철자 오류를 이용한 이름 사용)을 통해 개발자가 설치하도록 유도합니다. APT 조직은 이 중 다섯 개의 소프트웨어 패키지에 대해 GitHub 저장소를 생성하고 유지 관리하며, 합법적인 오픈 소스 프로젝트로 가장하여 악성 코드가 개발자에 의해 사용될 위험을 증가시킵니다. 이 패키지는 330회 이상 다운로드되었습니다. 현재 Socket 팀은 이 패키지의 삭제를 요청했으며, 관련 GitHub 저장소 및 사용자 계정을 보고했습니다.Lazarus는 악명 높은 북한 해커 조직으로, 최근 14억 달러 규모의 Bybit 해킹 공격, 4100만 달러의 Stake 해킹 공격, 2700만 달러의 CoinEx 해킹 공격 및 암호화폐 산업의 수많은 다른 공격과 관련이 있습니다.

ChainCatcher 메시지에 따르면, Bitcoin.com News의 보도에 의하면, 북한의 Lazarus 그룹은 거의 10억 달러에 달하는 암호화폐를 축적했으며, 이 중 5.92억 달러의 ETH, 3.19억 달러의 BTC, 심지어 33.7만 달러의 BABYDOGE가 포함되어 있습니다.

ChainCatcher 메시지에 따르면, Arkham 데이터에 의하면 현재까지 Lazarus Group으로 표시된 지갑이 THORChain을 통해 2억 4천만 달러 이상의 ETH를 이동시켰습니다. 이 자금은 주로 원주율 BTC로 교환되었습니다.또한, THORChain의 수석 개발자 @Pluto9r가 퇴사한다고 발표했습니다(재직 4년). THORChain 네트워크의 핵심 검증자 TCB(@1984_is_today)는 THORChain의 대부분의 활동이 인류 역사상 가장 큰 금융 절도 사건인 북한 해커의 자금 세탁 활동에서 비롯되며, 이는 국가 안보 문제로 발전할 것이라고 밝혔습니다.이전 보도에 따르면, 현재 THORChain은 자산이 부채를 초과하는 상황에 직면해 있으며, 저축 및 대출 기능이 중단되었고, 2억 달러의 부채 위기를 해결하기 위해 주식 토큰을 발행할 계획입니다.

ChainCatcher 메시지에 따르면, 시장 소식에 의하면 Pump.fun 프론트엔드에서 Lazarus와 관련된 Meme 코인이 삭제되었습니다.ChainCatcher 이전에 보도한 바와 같이, 체인 탐정 ZachXBT가 개인 채널에 글을 올려 특정 실체가 pump.fun에서 Meme 코인을 발행하고 거래함으로써 Bybit 해킹 사건의 해커가 돈세탁을 하고 있음을 발견했다고 밝혔습니다.

ChainCatcher 메시지에 따르면, 느린 안개 창립자 유선은 소셜 플랫폼에 글을 올리며 "증거 분석 및 연관 추적을 통해 우리는 CEX 해킹 사건의 공격자가 북한 해커 조직인 Lazarus Group임을 확인했습니다. 이는 암호화폐 거래 플랫폼을 겨냥한 국가 차원의 APT 공격입니다. 우리는 관련 IOC(위험 지표)를 공유하기로 결정했으며, 여기에는 일부 클라우드 서비스 제공업체, 프록시 등의 IP가 포함됩니다. 주의할 점은 이 글에서 어떤 플랫폼인지, 또는 Bybit인지에 대한 언급이 없으며, 유사한 점이 있다면 정말로 불가능한 것은 아닙니다."라고 전했습니다.공격자는 pyyaml을 이용해 RCE(원격 코드 실행)를 수행하여 악성 코드를 배포하고, 이를 통해 목표 컴퓨터와 서버를 제어했습니다. 이러한 방식은 대부분의 안티바이러스 소프트웨어의 탐지를 우회했습니다. 파트너와 정보를 동기화한 후, 여러 유사한 악성 샘플을 확보했습니다. 공격자의 주요 목표는 암호화폐 거래 플랫폼의 인프라를 침해하여 지갑에 대한 제어권을 확보하고, 이를 통해 지갑 내의 대량 암호 자산을 불법적으로 이전하는 것입니다.느린 안개는 Lazarus Group의 공격 방식을 밝힌 요약 기사를 발표했으며, 사회 공학, 취약점 이용, 권한 상승, 내부 네트워크 침투 및 자금 이동 등 일련의 전술을 분석했습니다. 또한 실제 사례를 바탕으로 APT 공격에 대한 방어 권고를 정리하여, 업계에 참고가 되고 더 많은 기관이 보안 방어 능력을 향상시켜 잠재적 위협의 영향을 줄일 수 있기를 희망합니다.

ChainCatcher 메시지, 느린 안개 최고 정보 보안 책임자 @im23pds가 소셜 미디어에 글을 올려 최근 모니터링 결과 Lazarus 조직이 더 이상 Zoom, Meeting 등 비디오 회의 도구만을 공격 수단으로 사용하지 않고, Willo-Talent 채용 비디오 플랫폼으로 위장한 트로이 목마 소프트웨어로 전환하여 채용 담당자가 악성 프로그램을 다운로드하고 실행하도록 유도하고 있다고 경고했습니다.