Edgen Crypto·Oct 17 2025, 19:00구글 위협 정보 그룹(GTIG)은 북한의 국가 지원 해커들이 공개 블록체인 네트워크의 스마트 계약 내부에 암호화폐 탈취 악성코드를 직접 삽입하는 'EtherHiding'이라는 새로운 기술을 확인했습니다. 이는 국가 사이버 전쟁 전술의 중요한 진화를 나타냅니다.
구글 위협 정보 그룹(GTIG)은 북한의 국가 지원 위협 행위자, 특히 UNC5342가 'EtherHiding'이라는 새로운 기술을 활용하여 암호화폐 탈취 악성코드를 공개 블록체인 네트워크의 스마트 계약 내부에 직접 삽입하고 있다고 보고했습니다. 이러한 발전은 Web3 공간에서 국가 사이버 능력의 확대를 의미하며, 보안에 대한 우려를 높이고 디지털 자산에 대한 향후 규제 프레임워크에 영향을 미칠 수 있습니다.
EtherHiding은 BNB 스마트 체인 및 이더리움과 같은 공개 블록체인을 악성 코드 호스팅에 활용하는 두 단계 악성코드 배포 방법으로 작동합니다. 이 과정은 사회 공학으로 시작되며, 공격자는 가짜 채용 제안 및 기술 평가와 같은 기만적인 전술을 사용하여 피해자가 초기 악성코드 파일을 다운로드하도록 유인합니다. 실행 시, 작은 JavaScript 로더 스크립트는 '읽기 전용' 함수 호출(예: eth_call)을 사용하여 블록체인의 스마트 계약과 통신합니다. 이 중요한 단계는 블록체인에 트랜잭션을 생성하지 않고도 JADESNOW 다운로더와 같은 주요 악성 페이로드를 검색할 수 있도록 하여 가스 요금을 피하고 은밀성을 강화합니다.
JADESNOW 다운로더는 이후 블록체인과 상호 작용하여 INVISIBLEFERRET.JAVASCRIPT 백도어를 포함한 후속적이고 더 지속적인 페이로드를 가져옵니다. 이 다단계 감염 체인은 공격자에게 손상된 시스템에 대한 장기적인 접근 권한을 제공하여 Windows, macOS 및 Linux 플랫폼에서 데이터 절도, 스파이 활동 및 암호화폐 지갑 침해를 가능하게 합니다. GTIG는 이를 국가 행위자가 EtherHiding을 사용한 최초의 문서화된 사례로 강조하며, 이는 2023년 9월 재정적으로 동기 부여된 CLEARFAKE 캠페인 (UNC5142) 내에서 나타났습니다.
북한 위협 행위자 UNC5342는 EtherHiding을 정찰 및 재정적으로 동기 부여된 작전 모두에 활용하고 있습니다. 이 기술은 공격자에게 여러 가지 전략적 이점을 제공합니다. 불변성은 악성 코드가 스마트 계약에 일단 삽입되면 쉽게 제거되거나 변경될 수 없도록 보장하여 탄력적인 명령 및 제어(C2) 서버를 제공합니다. 읽기 전용 호출의 사용은 상당한 은밀성을 제공하여 블록체인에서 활동을 추적하기 어렵게 만듭니다. 또한, EtherHiding의 유연성은 공격자가 스마트 계약을 단순히 수정함으로써 페이로드를 업데이트하고 공격 방법을 변경하여 실시간으로 전술을 조정할 수 있도록 합니다.
EtherHiding 활동에 여러 블록체인을 채택한 것은 북한 사이버 운영자들 사이의 운영 구획화를 시사합니다. 악성 페이로드는 온체인에 저장되지만, 위협 행위자들은 이러한 블록체인과 직접 상호 작용하지 않습니다. 대신, 그들은 전통적인 Web2 서비스와 유사한 중앙 집중식 서비스를 활용하여 네트워크와 인터페이스합니다. 이 하이브리드 접근 방식은 블록체인 저장소의 분산형 이점을 허용하면서 접근을 위해 확립된 웹 인프라를 활용합니다.
북한의 라자루스 그룹과 같은 국가 지원 단체에 의한 EtherHiding의 출현은 광범위한 Web3 생태계 및 암호화폐 시장에 중대한 영향을 미칩니다. 보안 우려 증가로 인해 스마트 계약 보안에 대한 사용자 신뢰가 감소하고 결과적으로 단기적인 시장 불안이 초래될 수 있습니다. 이 기술의 기존 제거 노력에 대한 탄력성은 더 강력한 스마트 계약 감사와 암호화폐 커뮤니티 전반에 걸친 향상된 보안 교육을 필요로 합니다. 이러한 발전은 또한 암호화폐 보안 조치에 대한 규제 조사를 강화하여, 분산형 기술의 국가적 착취를 완화하기 위한 더 엄격한 규정 준수 표준을 추진할 수 있습니다.
Web3 공간에서 운영하거나 상호 작용하는 조직은 제로 트러스트 보안 모델을 채택하고 다운로드 제한, 관리 업데이트 및 안전한 브라우징과 같은 강력한 Chrome Enterprise 정책을 시행하여 이러한 정교한 캠페인을 방해하는 것이 좋습니다. 이러한 위협의 지속적인 진화는 디지털 자산 환경에서 지속적인 경계와 적응형 사이버 보안 전략의 중요한 필요성을 강조합니다.
기술 및 디지털 통화 부문의 개발자를 대상으로 하는 정교한 채용 사기 캠페인인 '전염성 인터뷰' 캠페인은 UNC5342의 주요 벡터입니다. 공격자는 전문 네트워킹 사이트에 사기성 프로필을 만들고, 채용 담당자를 사칭한 다음, 텔레그램이나 디스코드와 같은 플랫폼으로 대화를 옮깁니다. 피해자들은 이후 GitHub 또는 npm과 같은 플랫폼에서 코딩 평가로 위장된 악성 파일을 다운로드하도록 요청받습니다. 이 포괄적인 사회 공학적 접근 방식은 EtherHiding의 기술적 정교함과 결합되어 블록체인 기술의 분산형 특성을 악용하기 위한 새로운 방법을 활용하는 고급 지속 위협의 증가 추세를 보여줍니다. 이러한 전술의 진화는 위협 행위자들이 탐지를 회피하고 스파이 활동 및 재정적 이득을 위해 고가치 대상에 대한 장기적인 접근을 유지하기 위해 지속적으로 적응함에 따라 사이버 보안 방어에 대한 지속적인 도전을 강조합니다.
