가짜 채용 담당자와 맥 악성코드로 암호화폐 개발자를 노리는 신종 위협 'JINX-0164'

AUDIOFIX: 파이썬으로 만들어진 정보 탈취형 악성코드

AUDIOFIX는 맥OS 환경에서 작동하도록 만들어진 파이썬(Python) 기반 정보 탈취형 악성코드(Infostealer)다. 주로 앞서 언급된 사회공학적 미끼를 통해 유포된다 . 이 악성코드의 주요 임무는 피해자 컴퓨터에 저장된 암호화폐 지갑 데이터, 개인 키, 각종 개발자 비밀 정보를 찾아내 외부 서버로 빼돌리는 것이다 .

MINIRAT: 은밀한 백도어 원격 접근 트로이목마

MINIRAT(미니랫)은 Go 언어로 제작된 정교한 맥OS 원격 접근 트로이목마(RAT)다. 단순한 정보 탈취를 넘어, 공격자에게 피해 기기에 대한 지속적이고 은밀한 제어권을 부여한다. 주요 기능은 다음과 같다 :

• 임의 셸 명령 실행: 원격에서 시스템 명령을 내릴 수 있다.
• 파일 유출: 내부 문서, 소스코드 등을 탈취할 수 있다.
• 2차 페이로드 다운로드 및 실행: 추가 악성코드를 심을 수 있다.

MINIRAT은 탐지를 회피하기 위해 여러 은닉 기술을 사용한다 :

• 가상 환경 탐지: 자동 멀웨어 분석 샌드박스에서 실행되는 것을 확인하면 작동을 멈춘다.
• 암호화된 C2 통신: AES 암호화된 설정으로 명령 제어(C2) 서버와 HTTPS 통신을 수행한다.
• 은밀한 지속성 유지: 재부팅 후에도 자동으로 실행되도록, 자신을 애플의 시스템 구성 요소(com.apple.Terminal.profiler)로 위장해 'LaunchAgent'에 등록한다. 'LaunchAgent'는 맥OS에서 사용자가 로그인할 때마다 특정 프로그램을 자동으로 실행해 주는 백그라운드 작업 스케줄러다 .

공급망 공격: npm 패키지로 퍼지는 MINIRAT

JINX-0164가 특히 위험한 이유는 단일 PC 감염에 그치지 않고, 소프트웨어 공급망 자체를 오염시키는 수법을 사용하기 때문이다. 대표적인 사례가 npm 레지스트리만을 노린 공급망 공격이다. 2026년 4월 7일, 공격자들은 합법적인 디파이(DeFi) 도구인 @velora-dex/sdk 패키지의 악성 버전(v9.4.1)을 npm에 무단으로 게시했다 .

이 공격은 은밀하게 설계되었다. 보통 공급망 공격은 package.json의 postinstall 같은 훅 스크립트를 변조하지만, 이는 보안 도구에 자주 탐지된다. 대신 공격자들은 단 3줄의 악성 코드를 dist/index.js 파일에 직접 삽입했다. 이 패키지를 import 혹은 require() 하는 즉시 악성 코드가 실행되도록 한 것이다 . 개발자 입장에서는 유용한 디파이 개발 키트를 가져다 썼을 뿐인데, 코드를 불러오는 순간, 숨겨진 명령어가 외부에서 셸 스크립트를 다운로드하고, 앞서 설명한 MINIRAT 백도어를 맥OS 시스템에 설치해 영구적인 통로를 만들어 버렸다 .

노트북을 넘어서: CI/CD 인프라 장악

JINX-0164의 목표는 개인 PC 장악에 머물지 않는다. Wiz의 보고서에 따르면, 공격자는 피해자의 노트북에서 발판을 확보한 후, 수평 이동(Lateral Movement)을 통해 CI/CD 파이프라인과 소프트웨어 빌드 시스템 등 더 넓은 개발 인프라까지 침투한다 .

이 단계가 특히 치명적인 이유는, 한 대의 PC를 해킹한 것이 회사의 전체 소프트웨어 배포 라이프사이클을 오염시킬 수 있는 위협으로 확대되기 때문이다. 빌드 서버나 코드 저장소에 접근한 공격자는 신뢰할 수 있는 내부 애플리케이션에 악성 코드를 집어넣거나, 공식 릴리즈 변조를 시도할 수 있다. 이는 일반적인 개인 정보 유출과 비교할 수 없을 정도로 큰 파괴력을 지닌다 .

라자루스(Lazarus)와의 공통점: 북한 연관성

보안 전문가들은 JINX-0164의 공격 방식에서 익숙한 패턴을 감지했다. 이들의 수법은 과거 수년간 북한 국가 지원을 받는 것으로 알려진 해킹 그룹들, 특히 '라자루스 그룹(Lazarus Group)'(일명 AppleJeus, Contagious Interview, DeceptiveDevelopment)의 작전과 매우 유사하다 . 공통점으로는 링크드인에서 시작되는 가짜 채용 미끼, 암호화폐 개발자라는 특정 표적 집단, 그리고 맥OS 악성코드에 대한 지속적인 투자 등이 있다 .

글로벌 보안 기업 ESET 역시 북한 연계 그룹들이 암호화폐 탈취를 위해 윈도우, 리눅스, 맥OS를 넘나들며 거의 동일한 플레이북으로 사회공학 공격을 펼쳐왔다고 발표한 바 있다 . Mandiant와 GitHub 또한 'Jade Sleet' 등의 그룹이 코딩 테스트를 위장한 미끼로 'COVERTCATCH' 같은 악성코드를 유포한 사례를 다수 식별했다 . 이처럼 정황 증거는 강력하지만, Wiz는 공식 보고서에서 JINX-0164를 북한의 라자루스 그룹으로 최종 귀속(Attribution)하지 않고, 그 연결 가능성은 열어두었다 .

2026년, 이 캠페인이 암호화폐 업계에 던지는 경고

JINX-0164는 2025년과 2026년 초를 거치며 가속화된 사이버 공격 트렌드의 위험한 집합체를 보여준다. 표적형 사회공학, 그동안 상대적으로 소홀히 여겨졌던 맥OS 플랫폼을 겨냥한 맞춤형 악성코드, 그리고 npm 레지스트리만을 악용한 공급망 공격이라는 세 가지 요소가 융합된 것이다. 여기에 더해, 개발자 PC를 넘어 코드를 만들고 빌드하고 배포하는 도구 자체를 공격하려는 공격성이 더해졌다.

암호화폐 및 웹3 조직의 보안 책임자들에게 이 사건이 주는 교훈은 명확하다. 직원 한 명이 정교하게 꾸며진 링크드인 메시지의 미끼에 넘어가는 것만으로도, 개인 지갑 탈취부터 시작해 핵심 빌드 인프라 장악까지 연쇄적인 붕괴가 발생할 수 있다는 사실이다. 이제 보안 탐지 및 대응은 PC나 노트북 등 개별 기기(endpoint)뿐 아니라, 패키지 레지스트리, 코드 임포트 시점의 동작, 그리고 그 하류에 있는 CI/CD 시스템 전반을 아우르는 포괄적인 가시성을 확보해야만 가능하다.