hexagonalrodent

네트워크 보안 회사 Expel의 연구 보고서에 따르면, 이 회사는 북한(DPRK) 국가 지원 APT 조직 "HexagonalRodent"를 추적하고 있으며, 이 조직은 Web3 개발자를 주요 목표로 삼고 고가치 디지털 자산인 암호화폐와 NFT를 전문적으로 훔치고 있습니다.이 조직은 주로 허위 채용 정보를 통해 공격을 수행합니다. LinkedIn 및 Web3 채용 플랫폼에 고액 연봉 직위를 게시하여 구직자가 내장된 악성 코드가 포함된 "기술 테스트"를 완료하도록 유도하고, VSCode의 tasks.json 기능을 이용해 피해자가 프로젝트 폴더를 열 때 악성 프로그램을 자동으로 실행합니다. 사용된 악성 소프트웨어에는 BeaverTail, OtterCookie 및 InvisibleFerret가 포함되어 있으며, 이들은 비밀번호 도용, 원격 제어 및 역방향 셸 기능을 갖추고 있습니다.주목할 점은 이 조직이 ChatGPT, Cursor와 같은 생성적 AI 도구를 대량으로 활용하여 악성 소프트웨어를 개발하고, 가짜 회사 웹사이트 및 AI 생성 경영진 팀을 구축하며, 심지어 멕시코에 페이퍼 컴퍼니를 등록하여 공격의 신뢰성을 높였다는 것입니다. 또한, 이 조직은 최근 처음으로 공급망 공격을 수행하여 VSCode 확장을 성공적으로 해킹했습니다.

느림의 최고 정보 보안 책임자 23pds는 트위터에서 Lazarus Group 소속의 HexagonalRodent가 "고액 원격 직위", "유명 프로젝트 채용" 등의 소셜 엔지니어링 수단을 통해 Web3 개발자를 유도하여 악성 코드를 실행하게 하고, 결국 사용자 암호 자산을 탈취하고 있다고 밝혔다.2026년 3월 9일, fast-draft 확장 개발자와 동일한 이름을 가진 사용자가 OtterCookie 악성 프로그램에 감염되어 악성 프로그램을 배포하는 데 사용되었다. 공격자는 ChatGPT와 Cursor를 대량으로 사용하여 공격을 보조하고, 위장성과 기만성을 더욱 높였다.