새로운 사이버 공격이 사용자가 거래를 보낼 때 암호 화폐를 훔치고 있으며, 많은 전문가들은 이를 역사상 가장 큰 공급망 공격이라고 부릅니다. 해커는 피싱 이메일을 사용하여 npm 패키지 유지 관리자 계정을 해킹했습니다. 이 이메일은 실제 npm 레지스트리를 복사하는 “[email protected]“에서 온 것처럼 보였습니다. 메시지는 개발자에게 2단계 인증을 업데이트하지 않으면 계정이 잠길 것이라고 말했습니다. 유지 관리자가 링크를 클릭하면 공격자는 로그인 세부 정보를 얻어 인기 있는 npm 패키지 내부에 멀웨어를 배치했습니다.
chalk, debug, ansi-styles를 포함하여 널리 사용되는 18개의 JavaScript 라이브러리가 손상되었습니다. 이러한 패키지는 매주 수십억 번 다운로드되며 전 세계 개발자가 사용합니다. 즉, 전체 JavaScript 생태계가 노출되었을 수 있습니다. BleepingComputer는 공격자가 브라우저 기반 인터셉터처럼 작동하는 코드를 이러한 라이브러리에 주입했다고 보고했습니다. 이 코드는 네트워크 트래픽을 감시하고 Bitcoin, Ethereum, Solana, Tron, Litecoin 및 Bitcoin Cash에서 암호 화폐 거래를 검색했습니다. 누군가 전송을 보낼 때 멀웨어는 거래가 서명되기 전에 실제 지갑 주소를 해커가 제어하는 주소로 대체했습니다.
보안 연구원 Charlie Eriksen은 멀웨어가 여러 방식으로 작동한다고 설명했습니다. 웹사이트에 표시되는 내용을 변경하고, API 호출을 조작하며, 사용자가 의도하지 않은 거래에 서명하도록 앱을 속입니다. Ledger의 CTO인 Charles Guillemet은 공격이 여전히 활성화되어 있으며 암호 화폐 사용자는 소프트웨어 지갑만 사용하는 경우 온체인 거래를 하지 않아야 한다고 경고했습니다. 하드웨어 지갑 사용자는 서명하기 전에 세부 정보를 확인하여 자신을 보호할 수 있지만, 지갑이 없는 사람은 더 높은 위험에 직면합니다.
연구원들은 또한 피싱 인프라가 훔친 세부 정보를 “websocket-api2.publicvm.com”으로 보낸다는 사실을 발견했습니다. 이는 공격이 잘 조율되었음을 보여줍니다. 이는 올해 초 npm 사건, 즉 reverse shell로 ethers 패키지를 패치한 3월 사건과 eslint-config-prettier를 표적으로 삼은 7월 사건에 이은 것입니다. 캠페인은 계속 진화하고 있으며, 이번에는 공격자들이 새로운 방식으로 Ethereum 스마트 계약을 사용했습니다. colortoolsv2 및 mimelib2라는 두 개의 npm 패키지는 Ethereum 스마트 계약 내부에 악성 명령을 숨겼습니다. 다운로드되면 패키지는 탐지를 더 어렵게 만드는 2단계 멀웨어를 설치했습니다.
Ethereum 스마트 계약은 블록체인에서 실행되는 작은 프로그램입니다. 공개되어 있으며 공개 API처럼 작동합니다. 이 경우 해커는 멀웨어를 다운로드하기 위한 링크를 저장하는 데 사용했으므로 누군가 패키지를 확인하더라도 위험한 코드를 보지 못할 수 있습니다. 이 창의적인 명령 및 제어 방식은 위협 행위자가 탐지를 피하기 위해 어떻게 적응하고 있는지를 보여줍니다.
공격자들은 또한 GitHub 저장소를 신뢰할 수 있도록 만들려고 시도했습니다. solana-trading-bot-v2 및 ethereum-mev-bot-v2와 같은 가짜 프로젝트를 만들었습니다. 이러한 프로젝트에는 많은 별, 관찰자 및 커밋이 있었지만 이 활동의 대부분은 가짜였습니다. 계정은 종종 파일 하나만 사용하여 동시에 생성되었으며 자동 커밋으로 숫자를 부풀렸습니다. 이 소셜 엔지니어링 트릭은 악성 npm 패키지를 작업에 포함할 수 있는 개발자에게 저장소를 실제처럼 보이게 했습니다.
전문가들은 공급망 공격이 특히 신뢰할 수 있는 도구를 대상으로 하기 때문에 위험하다고 경고합니다. 악성 코드를 오픈 소스 라이브러리 내에 숨기면 해커는 수백만 명의 개발자와 최종 사용자에게 한 번에 도달할 수 있습니다. 올해에만 연구원들은 암호 화폐를 훔치려는 npm, GitHub 및 PyPI에서 20개 이상의 캠페인을 발견했습니다. 일부는 인포스틸러를 사용했고, 다른 일부는 코인 마이너를 배포했으며, 많은 사람들이 민감한 데이터를 캡처하기 위해 피싱에 의존했습니다.
의심스러운 도메인, 난독화된 코드, 가짜 저장소와 같은 침해 지표(IOC)는 보안 팀이 이러한 위협을 감지하는 데 도움이 됩니다. 그럼에도 불구하고 많은 사용자는 자금이 사라질 때까지 알지 못할 것입니다. 당분간 개발자는 패키지, 유지 관리자 및 코드를 사용하기 전에 주의 깊게 확인해야 합니다. 암호 화폐 사용자는 하드웨어 지갑을 고려하고 위협이 통제될 때까지 대규모 이전을 피해야 합니다. 이 공격은 사이버 범죄가 얼마나 빠르게 진화하고 있으며, 소프트웨어 공급망과 디지털 자산을 모두 보호하는 것이 얼마나 중요한지를 보여줍니다.
