최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- IronWorm이라는 Rust 기반 정보 탈취 악성 프로그램이 Arweave 생태계의 npm 패키지 36개에 숨어 있었습니다.
- 해당 악성 소프트웨어는 자체 복제 후 9개 조직에 걸쳐 이전 날짜의 악성 커밋을 퍼뜨렸습니다.
- 해당 패키지를 설치한 개발자는 노출된 모든 비밀 키를 즉시 교체해야 합니다.
공격자들은 Arweave 생태계와 관련된 36개의 npm 패키지 내부에 정보 탈취 악성코드를 심어놓았습니다. 이 악성코드는 개발자dent증명, SSH 키, Exodus 암호화폐 지갑 파일 등을 노렸습니다. 보안 업체 JFrog는 이 공격이 해킹당한 관리자 계정에서 비롯된 것임을 trac했습니다.
이 악성 프로그램은 IronWorm이라고 하며 Rust로 제작되었습니다. 개발자가 npm 패키지를 설치하는 순간 활성화됩니다.dentJFrog 연구팀 노립니다dent, 암호화폐 지갑 데이터 등을
Arweave 프로젝트 패키지에는 숨겨진 Rust 악성코드가 포함되어 있습니다
공격자들은 Arweave/WeaveDB 분산 데이터베이스 프로젝트의 일부인 asteroid-dao GitHub 그룹에 속한 "asteroiddao"라는 npm 계정을 해킹했습니다.
"asteroiddao" 계정과 관련된 모든 패키지는 짧은 시간 내에 다시 게시되었으며, 각 새 버전에는 tools/ 디렉터리에 있는 976KB 크기의 Linux 파일이 포함되어 있습니다.
해당 파일은 package.json 의 사전 설치 후크를 되도록 설정되어 있었기matic통해 자동으로 때문에 npm이 아무것도 설치하기 시작하기도 전에 실행되었습니다. 피해자는 npm install 명령만 실행하면 되었습니다 .
JFrog 팀은 해당 파일을 분석한 결과, 일반적인 압축 해제 도구를 속이도록 설계된 방식으로 압축되어 있음을 발견했습니다. 파일 안에는 문자열을 개별적으로 암호화하고 각각 따로 잠가 분석을 훨씬 어렵게 만드는 대규모 Rust 프로그램이 들어 있었습니다.
해당 문자열들이 마침내 해독되었을 때, 그 안에는 GitHub API 엔드포인트,dent증명 파일 경로, 실제 GitHub 사용자 ID와 연결된 가짜 봇 계정, 그리고 다른 패키지 레지스트리에 악성 코드를 주입하기 위한 템플릿 등이 포함되어 있었습니다.
도난당한 GitHub 토큰으로 악성코드가 커밋을 푸시하고 더 많은 저장소를 감염시킬 수 있습니다
아이언웜은dent증명을 수집한 후, 이를 이용해 피해자가 접근할 수 있는 저장소에 커밋을 푸시했습니다. 이러한 커밋은 동일한 악성 바이너리를 다른 패키지에 심었고, 해당 패키지는 npm에 게시되어 다음 개발자에게까지 영향을 미칠 수 있었습니다.
JFrog는 9개의 GitHub 조직 에서 57개의 악성 커밋을 발견했는데 , 이 커밋들은 작성자 이름에 "claude"와 이메일 주소( [email protected])를 사용했습니다 . 타임스탬프는 각 저장소의 가장 최근 정상 커밋과 일치하도록 위조되었습니다. 한 커밋은 13년 전으로 거슬러 올라가는 것처럼 보였지만, GitHub Actions 로그를 통해 모든 푸시가 발견 후 며칠 이내에 발생했음을 확인했습니다.
피해를 입은 조직에는 asteroid-dao, weavedb, ArweaveOasis 및 개발자 "ocrybit"과 관련된 여러 개인 계정이 포함됩니다
아이언웜은 감염된 시스템에 숨기기 위해 eBPF 커널 루트킷을 배포했습니다. 운영자와의 통신은 토르 네트워크를 통해 이루어졌습니다. 러스트 컴파일러는 루트킷의 소스 코드를 바이너리에 남겨두었는데, 이는 분석을 용이하게 만든 운영상의 오류였습니다.
특이한 점은 공격자가 악성코드에 자신의 암호화폐 지갑 복구 문구를 하드코딩했다는 것입니다. JFrog는 이것이 테스트 중에 공격자가 자신의dent정보를 유출하는 것을 막기 위한 안전장치라고 결론지었습니다.
npm에 악성코드 공격이 계속되고 있습니다
애플리케이션 보안 업체인 Ox Security는 이번 공격이 npm의 더 많은 패키지로 확산되기 전에 조기에 발견되었다고 밝혔습니다
악성 버전은 하루 만에 사용 중단 대상으로 표시되었고, 대부분의 이전 버전 커밋은 그 직후 GitHub에서 삭제되었습니다.
5월 14일, 해커들이 주간 다운로드 횟수가 82만 2천 건이 넘는 node-ipc 패키지의 비활성화된 관리자 계정을 악용했습니다. 공격은 관리자의 만료된 이메일 도메인을 재등록하고 npm 비밀번호를 재설정하는 방식으로 이루어졌습니다. 유출된 세 가지 변종에는dent90개 이상의 개발자 보안 정보를 탈취하려는
보안 회사인 Endor Labs와 StepSecurity는 동일한 시기에 레지스트리 변조 및 GitHub Actions 감염을 일으키는 유사한 공격을 수행한 binding.gyp라는 자바스크립트 기반 악성코드를 사용한 동시다발적이지만 별개의 공격을dent.
영향을 받는 WeaveDB 패키지를 설치한 개발자는 모든dent증명을 주기적으로 교체하고, 잠금 파일에서 예기치 않은 버전 변경 사항을 확인하고, npm 및 GitHub 계정에 2단계 인증을 활성화해야 합니다.
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.
자주 묻는 질문
아이언웜이란 무엇이며 어떻게 확산되나요?
IronWorm은 `npm install` 명령 실행 중에 사전 설치 후크를 통해 실행되는 Rust 기반 정보 탈취 악성 프로그램입니다.dent증명을 확보한 후에는 탈취한 GitHub 및 npm 토큰을 사용하여 피해자의 저장소에 악성 커밋을 푸시합니다.
아이언웜 공격으로 어떤 npm 패키지가 영향을 받았습니까?
이번 공격으로 "asteroiddao" npm 계정으로 게시된 36개의 패키지가 손상되었으며, 이 패키지들은 모두 Arweave/WeaveDB 생태계와 관련이 있습니다.
아이언웜은 어떤dent훔치나요?
해당 악성 프로그램은 86개의 환경 변수와 20개의dent증명 파일을 대상으로 합니다. 여기에는 AWS 토큰, OpenAI 및 Anthropic API 키, npm 인증 비밀 키, SSH 키, Exodus 암호화폐 지갑 파일 등이 포함됩니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.tron권장합니다dent .
란다 모세스
란다 모세스는 Cryptopolitan 의 편집자 겸 기자로, 기술, 인공지능, 로봇공학, 암호화폐, 사기 및 해킹 관련 기사를 쓰고 있습니다. 2017년부터 암호화폐 업계에서 활동해 온 그녀는 포워드 프로토콜, 아마직스, 크립토솜니악에서 근무한 경력이 있습니다. 란다는 브래드퍼드 대학교에서 전기tron공학 학위를 받았습니다.
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)