최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- SAP의 실제 npm 패키지 4개가 해킹당했습니다.
- 해커들은 개발자로부터 암호화폐 지갑, 클라우드dent증명 및 SSH 키를 훔치는 코드를 추가했습니다.
- 이 패키지들은 매주 50만 건 이상의 다운로드를 기록했습니다.
SAP의 클라우드 애플리케이션 프로그래밍 모델과 관련된 npm 패키지 4개가 도난당했습니다. 해커들은 개발자로부터 암호화폐 지갑, 클라우드dent증명 및 SSH 키를 훔치는 코드를 추가했습니다.
Socket의 보고서에 따르면 영향을 받는 패키지 버전은 다음과 같습니다
- [이메일 보호됨].
- @cap-js/[email protected].
- @cap-js/[email protected].
- @cap-js/[email protected].
이 두 패키지는 SAP 개발자 커뮤니티에서 매주 약 572,000건의 다운로드를 기록하고 있습니다.
npm 패키지가 클라우드dent증명과 암호화폐 지갑을 훔칩니다
보안 연구원들은 해킹된 패키지에 GitHub에서 Bun 런타임 바이너리를 다운로드하고 실행하는 스크립트가 사전 설치되어 있다고 설명했습니다. 그런 다음 이 스크립트는 난독화된 11.7MB 크기의 자바스크립트 페이로드를 실행합니다.
기존 SAP 소스 파일은 그대로 있지만, 세 개의 새로운 파일이 추가되었습니다
- 수정된 package.json 파일입니다.
- setup.mjs.
- 실행.js.
이 파일들의 타임스탬프는 실제 코드보다 몇 시간 늦게 찍혔습니다. 이는 tarball 파일들이 실제 소스에서 다운로드된 후 변경되었음을 보여줍니다.
Socket은 라고 불렀습니다 을 "trondentdentdentdentdentdentdentdent서로 다른 네임스페이스에 있음에도 불구하고 네 개의 패키지 모두에서
페이로드가 실행될 때, 시스템 언어가 러시아어로 설정되어 있는지 확인하고, 그렇다면 실행을 중지합니다. 그런 다음 GitHub Actions, CircleCI, Jenkins와 같은 25개의 플랫폼 변수를 확인하여 CI/CD 환경인지, 아니면 개발자 워크스테이션인지에 따라 분기합니다.
개발자 컴퓨터에서 이 악성 프로그램은 80가지가 넘는 다양한 유형의dent증명 파일을 읽습니다. 여기에는 SSH 개인 키, AWS 및 Azuredent증명, Kubernetes 구성 파일, npm 및 Docker 토큰, 환경 파일, 그리고 11개 플랫폼의 암호화폐 지갑이 포함됩니다. 또한 Claude 및 Kiro MCP 설정과 같은 AI 도구의 구성 파일도 노립니다.
이 페이로드는 두 단계의 암호화를 거칩니다. `__decodeScrambled()`라는 함수는 20만 번의 SHA-256 반복과 "ctf-scramble-v2"라는 솔트를 사용하는 PBKDF2 알고리즘을 이용하여 복호화에 필요한 키를 추출합니다.
함수 이름, 알고리즘, 솔트, 반복 횟수는 이전 Checkmarx 및 Bitwarden 페이로드와 동일합니다. 이는 동일한 도구가 여러 캠페인에서 사용되고 있음을 시사합니다.
Socket은 "TeamPCP"라는 이름으로 활동을 주시하고 있으며, "미니 샤이훌루드" 캠페인이라고 부르는 것에 대한 별도의 trac페이지를 만들었습니다.
해커들이 암호화폐 개발자들을 지속적으로 공격하고 있습니다
SAP 패키지 해킹 사건은 패키지 관리 프로그램을 이용해 디지털 자산dent증명을 훔치는 일련의 공급망 공격 중 가장 최근 사례입니다.
같이 Cryptopolitan 보도한 바와 당시 Solana 및 Ethereum 개발자의 개인 키를 훔쳐 텔레그램 봇으로 전송하는 5개의 타이포스쿼팅된 npm 패키지를 발견했습니다.
ReversingLabs는 한 달 후 PromptMink라는 캠페인을 발견했습니다. 이 캠페인에서는 AI가 생성한 커밋을 통해 @validate-sdk/v2라는 악성 패키지가 오픈 소스 암호화폐 거래 프로젝트에 추가되었습니다.
Cryptopolitan은 인용 하여, 북한 정부 지원 그룹인 페이머스 촐리마와 연관된 이번 공격이 특히 암호화폐 지갑 자격dent과 시스템 비밀 정보를 노렸다고 보도했습니다.
SAP 공격은 규모와 방향 면에서 기존 공격과 다릅니다. 공격자들은 실제 패키지와 유사한 이름을 가진 가짜 패키지를 만드는 대신, SAP 네임스페이스에 저장된 실제 널리 사용되는 패키지에 침투했습니다.
보안 연구원들은 SAP CAP 또는 MTA 기반 배포 파이프라인을 사용하는 팀이 영향을 받는 버전이 있는지 잠금 파일을 즉시 확인할 것을 권장합니다.
취약점 노출 기간 동안 해당 패키지를 설치한 개발자는 빌드 환경에서 사용 가능했을 수 있는dent증명 및 토큰을 변경하고 CI/CD 로그에서 예기치 않은 네트워크 요청이나 바이너리 실행이 있었는지 확인해야 합니다.
연구원들에 따르면, 영향을 받은 버전 중 하나인 @cap-js/[email protected]은 이미 npm에서 게시 취소된 것으로 보입니다.
은행에 돈을 넣어두는 것과 암호화폐에 투자하는 것 사이에는 중간 지점이 있습니다. 탈중앙화 금융.
자주 묻는 질문
SAP 공급망 공격으로 어떤 npm 패키지가 손상되었습니까?
영향을 받는 버전은 [email protected], @cap-js/[email protected], @cap-js/[email protected]및 @cap-js/[email protected]. 이 모든 버전은 SAP의 클라우드 애플리케이션 프로그래밍 모델 및 클라우드 배포 도구와 관련이 있습니다.
악성 소프트웨어는 감염된 컴퓨터에서 어떤 데이터를 훔치나요?
해당 페이로드는 11개의 서로 다른 플랫폼에서 가져온 암호화폐 지갑과 SSH 개인 키, AWS, Azure, GCP 및 Kubernetes용 클라우드dent증명, npm 및 Docker 토큰, 환경 파일, AI 도구 구성 파일을 수집합니다.
개발자들은 자신들이 영향을 받았는지 어떻게 알 수 있을까요?
연구원들은 특정 손상된 버전의 종속성 트리와 잠금 파일을 살펴보고, 2026년 4월 29일 노출 기간 동안 발생해서는 안 되는 바이너리 다운로드나 네트워크 활동이 있었는지 CI/CD 로그를 확인하고, 빌드 환경에서 사용 가능했을 수 있는 모든dent증명을 변경할 것을 제안합니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)