북한 해커 그룹, 애플 기기 겨냥한 님도어 바이러스로 암호화폐 기업 침투

북한 위협 그룹이 암호화폐 기업을 침투하고 지갑 자격증명을 도용하기 위해 님도어(NimDoor)라는 새로운 컴퓨터 바이러스로 애플 기기를 감염시키고 있다고 보안업체 센티넬랩스(SentinelLabs)가 연구 보고서에서 경고했다.

3일(현지시간) 더 블록에 따르면, 공격자들은 사이버 범죄자들이 사용하는 친숙한 사회공학적 전술인 텔레그램(Telegram)을 통해 타겟에게 메시지를 보낸다.

해커들은 캘린들리(Calendly)를 통해 악성 회의를 조직하고 피해자들을 유인하여 애플의 안전 검사를 우회하여 실행되는 악성코드가 포함된 가짜 줌 업데이트(Zoom Update)를 다운로드하도록 한다. 이 임플란트는 악성코드에서 거의 사용되지 않는 틈새 프로그래밍 언어인 님(Nim)으로 작성되었기 때문에 눈에 띈다.

센티넬랩스는 애플의 내장 보호 서명이 아직 님도어를 표시하지 않아 백도어가 macOS 기반 기기에 자유롭게 진입할 수 있다고 밝혔다. 설치되면 브라우저 비밀번호, 텔레그램 데이터베이스, 암호화폐 지갑 파일을 수집한 다음 악성코드를 다시 로드하고 후속 페이로드를 끌어오는 로그인 항목 에이전트를 연다.

이 문제를 해결하기 위해 센티넬랩스는 암호화폐 기업들에게 서명되지 않은 설치 패키지를 차단하고, zoom.us에서만 줌 업데이트를 확인하며, 실행 파일을 푸시하는 새로운 프로필에 대해 텔레그램 연락처 목록을 감사할 것을 촉구했다.

이번 경고는 증가하는 북한의 사이버 공격 전략서에 추가되었다. 지난주 인터체인 랩스(Interchain Labs)는 코스모스(Cosmos) 유지 관리자들이 무의식적으로 북한 개발자를 고용했다고 밝혔으며, 미국 검찰은 북한 국민들이 토네이도 캐시(Tornado Cash)를 통해 90만 달러 이상의 도난 암호화폐를 세탁한 혐의로 기소했다. 미국 법무부는 공작원들이 미국 기업들로부터 데이터를 도용하는 여러 계획에서 미국 시민으로 가장했다고 밝혔다.

TRM 랩스(TRM Labs)는 북한 연계 그룹들이 2025년 상반기에 웹3 운영자들로부터 16억 달러를 빼냈으며, 이는 2월의 15억 달러 바이비트(Bybit) 침해 사건이 주도했다고 추정한다. 보안 스타트업에 따르면 이는 상반기 전체 암호화폐 손실의 70% 이상에 해당한다.