[멕시코=심영재 특파원] 북한 해킹 조직 라자루스가 macOS 기반 악성코드 ‘Mach-O Man’을 활용해 디지털자산(가상자산) 탈취 공격을 벌이고 있는 것으로 나타났다.
22일(현지시각) 비트코인닷컴 보도에 따르면 해당 악성코드는 디지털자산 지갑과 계정 정보, macOS 키체인 데이터까지 수집하도록 설계됐다.
비트소 케찰팀(Bitso’s Quetzal Team)과 ANY.RUN 분석에 따르면 이 공격은 주로 크립토 및 핀테크 업계 종사자를 대상으로 한다. 공격자는 텔레그램 계정을 탈취하거나 사칭해 긴급 회의 초대 메시지를 보내고, 피해자를 가짜 화상회의 사이트로 유도한다.
피해자가 링크에 접속하면 ‘연결 오류’를 가장한 화면이 나타난다. 이후 문제 해결을 위해 터미널 명령어를 복사해 실행하라는 안내가 표시된다. 이 과정에서 사용자가 직접 명령어를 실행하기 때문에 macOS 보안 기능인 게이트키퍼를 우회하게 된다.
비트코인닷컴에 따르면 초기 실행 파일은 추가 악성 앱을 다운로드하고, 사용자 비밀번호 입력을 유도한다. 이후 시스템 정보와 브라우저 데이터, 확장 프로그램 정보를 수집한다. 크롬, 사파리, 파이어폭스 등 주요 브라우저가 모두 대상이다.
최종 단계에서는 ‘macrasv2’라는 모듈이 실행돼 로그인 정보와 키체인 데이터, 디지털자산 지갑 접근 정보를 압축해 외부로 전송한다. 데이터는 텔레그램 봇 API를 통해 유출되는 것으로 나타났다.
악성코드는 시스템 재부팅 후에도 실행되도록 숨겨진 경로에 파일을 생성하고 자동 실행 설정을 추가한다. 연구진은 위장된 ‘Onedrive’ 파일과 LaunchAgent 등록을 주요 지표로 지목했다.
라자루스는 과거 켈프다오, 드리프트 등 대형 해킹 사건에도 연루된 것으로 알려졌다. 이번 공격 역시 고가치 디지털자산을 보유한 개발자와 기업을 주요 타깃으로 삼고 있다.
보안 전문가들은 특히 “웹페이지에서 복사한 터미널 명령어를 실행하지 말 것”과 “출처 불분명한 회의 초대 링크를 경계할 것”을 강조했다. 기업 차원에서는 텔레그램 트래픽 모니터링과 시스템 자동 실행 항목 점검이 필요하다고 지적했다.
관련 기사
![[뉴욕 코인시황/마감] 트럼프 이란공격 연기…비트코인 7.7만달러선 안간힘](https://cdn.blockmedia.co.kr/wp-content/uploads/2026/05/20260519-054914-560x190.jpg "[뉴욕 코인시황/마감] 트럼프 이란공격 연기…비트코인 7.7만달러선 안간힘")
