디지털 채용 플랫폼과 이메일을 악용한 사이버 공격이 증가하는 가운데, 북한 연계 해킹조직 라자루스(Lazarus)가 구직자를 표적으로 삼은 새로운 악성코드를 배포한 사실이 밝혀졌다. 사이버 보안 기업 애니런(ANY.RUN)이 자사의 악성코드 분석을 통해 자바스크립트 기반 스틸러 ‘오터쿠키(OtterCookie)’의 활동을 공개하며 그 위협을 경고했다.

이번 분석에 따르면 오터쿠키는 컨테이져스 인터뷰(Contagious Interview) 또는 데브포커(DevPopper)로 알려진 소셜 엔지니어링 캠페인의 일환으로, 채용 담당자로 위장한 공격자가 개발자나 임원에게 가짜 구인 제안을 보내 악성 저장소 접속을 유도하는 방식으로 전개된다. 피해자는 링크드인이나 이메일을 통해 ‘프런트엔드 버그 수정’과 같은 계약 제안 형태로 접근받는다.

클린한 Node.js 저장소와 자격증명 탈취 기능

오터쿠키는 외형상 악성 요소가 없는 Node.js 저장소를 통해 전달되며, 사용자 의심을 줄이기 위해 임플란트나 비정상적 의존성이 없는 점이 특징이다. 악성코드는 try/catch 블록을 통해 JavaScript 오류를 유도하고, 이를 전달 메커니즘 삼아 외부 서버에서 페이로드를 로드해 실행한다.

이 악성코드는 실행 이후 브라우저 저장 자격증명, macOS 키체인, Solana 및 Exodus와 같은 암호화폐 지갑 정보를 수집한다. 특히 이러한 자격 증명과 지갑 데이터는 추가 악성 활동의 기반으로 악용되며, 보안 상 큰 위협을 야기할 수 있다.

오터쿠키는 단순한 정보 탈취에 그치지 않고, 휴대형 파이썬 환경을 통해 InvisibleFerret을 실행하고, 이를 통해 추가적인 데이터 유출 및 2차 감염을 준비한다. 유출된 데이터는 포트 1224를 통해 InvisibleFerret과 연결된 외부 서버로 전송되며, 이는 기존 라자루스 변종인 Beavertail 및 InvisibleFerret에서 나타났던 활동 패턴과 일치한다.

애니런의 분석 환경에서는 샌드박스 단계에서 페이로드에 난독화 해제 전에 플래그를 지정하고, MITRE ATT&CK 프레임워크를 통해 해당 악성코드의 행동을 세부적으로 매핑해 공격 벡터를 확인했다.

이번 캠페인의 주요 타겟은 암호화폐, 핀테크, 웹3 산업군 종사자로 밝혀졌다. 기술 및 개발직 종사자들을 대상으로 하는 정교한 위장 전술은 실제 피해 발생 가능성을 높이며, 기업 보안 팀은 LinkedIn 및 이메일을 통한 접촉에 대한 검증 프로세스를 강화해야 한다.

애니런은 이번 분석을 통해 소셜 엔지니어링 기반의 공격이 더욱 정교해지고 있으며, 클린 코드 형태로 위장된 악성 저장소가 새로운 공격 트렌드로 부상하고 있다고 지적했다. 오터쿠키는 이러한 최신 공격 유형을 대표하는 사례로, 보안 담당자들의 주의가 필요하다.