카스퍼스키가 암호화폐 투자자를 겨냥한 새로운 악성코드 프레임워크 ‘OkoBot’을 포착했다. 이번 악성코드는 지갑 파일과 브라우저 정보, 계정 자격 증명을 훔친 뒤 원격으로 자산 탈취까지 노리는 방식으로 확인됐다.
현지시간 수요일 공개된 보고서에 따르면 OkoBot은 ‘ClickFix’ 같은 사회공학 수법이나 악성으로 조작된 깃허브(GitHub) 앱을 통해 감염을 시작한다. 사용자가 직접 명령어를 실행하거나 정상 앱으로 오인한 설치 파일을 열도록 유도하는 방식이다. 카스퍼스키는 올해 1월 이후 이 악성코드 계열과 연관된 여러 공격을 확인했다고 밝혔다.
OkoBot은 지갑 관련 파일과 브라우저 데이터, 로그인 정보를 수집하고 악성 확장 프로그램을 주입할 수 있다. 또 지갑 애플리케이션 창을 캡처해 민감 정보를 빼돌리는 기능도 포함됐다. 카스퍼스키는 이 프레임워크가 2025년 처음 발견된 ‘TookPS’ 캠페인에서 진화한 형태라며, 가짜 소프트웨어 웹사이트를 활용하던 기존 수법보다 더 조직적이라고 설명했다.
특히 이번 공격은 악성 페이로드 20개를 모두 ‘SSH 터널’로 제어하는 점이 특징이다. 감염된 PC의 데이터를 공격자가 통제하는 원격 장비로 우회 전송할 수 있어 탐지가 더 어려워진다. 보안 업계에서는 이런 구조가 유사한 복제 공격으로 이어질 가능성도 높다고 보고 있다.
링크드인 채용 사칭까지 확산…웹3 개발자도 표적
또 다른 사례로는 웹3 개발자를 겨냥한 가짜 채용 공격도 확인됐다. 블록체인 보안업체 슬로우미스트에 따르면 공격자들은 링크드인에서 웹3 리크루터를 가장해 개발자들에게 접근한 뒤, 면접 전 확인이 필요하다며 가짜 깃허브 저장소를 전달했다.
실제 기술 면접처럼 코드 내려받기, 의존성 설치, 프로젝트 실행까지 자연스럽게 이어지기 때문에 피해자가 수상함을 눈치채기 어렵다는 설명이다. 이 과정에서 악성코드는 ‘원격 접근 트로이목마’로 작동하며, 프로젝트 키와 클라우드 자격 증명, 지갑 확장 프로그램 데이터까지 노릴 수 있다.
슬로우미스트는 “이번 공격은 단발성 사례가 아니다”라며 “채용, 코드 리뷰, 협업 같은 일상적인 개발 환경이 점점 악용되고 있다”고 지적했다. 최근에는 macOS 사용자를 노린 별도 악성 캠페인도 보고돼, 공격 범위가 투자자뿐 아니라 개발 생태계 전반으로 넓어지는 모습이다.
암호화폐 시장이 회복 흐름을 이어가는 가운데, 해커들도 지갑보다 ‘사람’을 먼저 노리는 방식으로 진화하고 있다. 특히 개발자 채용과 프로젝트 협업을 위장한 공격이 늘면서, 보안 경계가 자산 보호의 핵심 변수로 떠오르고 있다.
기사요약 by TokenPost.ai 🔎 시장 해석 암호화폐 시장 회복세와 함께 해커들의 공격 방식이 기술 중심에서 ‘사람 중심’으로 진화하고 있다. OkoBot 같은 모듈형 악성코드는 투자자뿐 아니라 개발자까지 겨냥하며, 단순 해킹이 아닌 사회공학 기반의 정교한 침투가 핵심 위협으로 부상했다.
💡 전략 포인트 출처가 불분명한 깃허브 코드 실행 금지 및 설치 파일 검증 필수 지갑 시드 문구 입력 요청은 100% 공격 시도로 간주 채용·협업 과정에서도 코드 실행 전 보안 검증 필요 브라우저 확장 프로그램 및 권한 요청 항상 점검 SSH 터널 기반 통신은 탐지 회피 가능성이 높아 보안 솔루션 최신화 중요
📘 용어정리 OkoBot: 암호화폐 지갑 및 계정 정보를 탈취하는 최신 악성코드 프레임워크 사회공학 공격: 사람을 속여 스스로 보안을 무너뜨리게 만드는 해킹 방식 SSH 터널: 암호화된 통신 경로를 통해 데이터를 은밀히 전송하는 기술 시드 구문: 지갑 복구용 핵심 키로, 유출 시 자산 전체 탈취 가능 원격 접근 트로이목마(RAT): 감염된 기기를 외부에서 제어할 수 있는 악성코드
💡 자주 묻는 질문 (FAQ)
Q.
OkoBot은 기존 악성코드와 무엇이 다른가요?
OkoBot은 여러 개의 악성 모듈을 동시에 운영하는 프레임워크 형태로, 단순 정보 탈취를 넘어 지갑 데이터, 브라우저 정보, 화면 캡처까지 복합적으로 수행합니다. 특히 SSH 터널을 활용해 탐지를 회피한다는 점에서 기존 악성코드보다 훨씬 은밀하고 조직적인 공격이 가능합니다.
Q.
왜 개발자들이 이런 공격에 더 쉽게 노출되나요?
개발자는 깃허브 코드 실행, 패키지 설치 등 외부 리소스를 자주 사용하는 환경에 익숙합니다. 공격자는 이런 습관을 악용해 실제 업무처럼 보이는 코드나 프로젝트를 제공하고, 자연스럽게 악성코드를 실행하도록 유도하기 때문에 일반 사용자보다 더 쉽게 침투당할 수 있습니다.
Q.
일반 투자자는 어떤 점을 가장 주의해야 하나요?
가장 중요한 것은 시드 구문과 지갑 정보를 절대 외부에 입력하지 않는 것입니다. এছ 출처가 불분명한 프로그램 설치나 확장 기능 추가를 피하고, "문제 해결"을 이유로 명령어 실행을 유도하는 안내는 의심해야 합니다. 보안은 기술보다 습관이 더 중요한 영역입니다.
TP AI 유의사항
TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.