[디지털투데이 AI리포터] 북한 해커들이 암호화폐와 민감한 정보를 탈취하기 위해 스마트 컨트랙트에 악성코드를 삽입하는 '이더하이딩' 기법을 활용하고 있다고 지난 17일(현지시간) 블록체인 매체 코인텔레그래프가 전했다.

구글위협정보그룹(GTIG)에 따르면 이더하이딩은 지난 2023년 등장한 공격 방식으로, 가짜 채용 제안이나 고위직 인터뷰를 미끼로 피해자를 유인하는 소셜 엔지니어링과 결합해 사용된다. 

이는 해커들이 로더 스크립트를 통해 합법적인 웹사이트 주소를 장악하고, 자바스크립트 코드를 삽입해 사용자가 악성 사이트와 상호작용할 때 암호화폐와 데이터를 탈취하는 스마트 컨트랙트를 활성화하는 방식이다. 

구글 연구진에 따르면, 변조된 웹사이트는 블록체인 네트워크와 '읽기 전용' 함수로 통신해 실제 거래를 생성하지 않으면서도 공격자들이 탐지를 피하고 거래 수수료를 최소화할 수 있도록 한다.

구글은 해커들이 가짜 기업, 채용 대행사, 프로필을 만들어 암호화폐 개발자를 표적으로 삼고 있으며, 초기 접촉 후 디스코드나 텔레그램 같은 메신저로 대화를 유도해 코딩 테스트를 빙자한 악성 파일 다운로드를 유도한다고 경고했다.

또한, 화상 통화 중 가짜 오류 메시지를 띄워 패치 설치를 유도하는 방식도 사용되고 있다고 한다. 악성 소프트웨어가 설치되면 자바스크립트 기반 2단계 악성코드 '제이드스노우(JADESNOW)'가 작동해 민감한 데이터를 수집하며, 고가치 타깃의 경우 3단계 공격을 통해 장기적인 시스템 접근을 시도한다고 구글은 덧붙였다.

△디지털투데이 텔레그램 뉴스채널 구독하기(클릭)