최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- ReversingLabs의 연구는 Ethereum 스마트trac을 사용하여 악성코드 URL을 숨기는 npm 패키지인 clortoolv2와 mimelib2를dent했습니다.
- 해당 활동은 스타게이저의 고스트 네트워크와 연관되어 있으며, 연구원들은 오픈 소스 라이브러리를 선택할 때 주의를 기울여야 한다고 강조하고 있습니다.
- 해당 캠페인은 검증되지 않은 별점, 커밋 수, 관리자 정보를 가진 암호화폐 거래 봇으로 위장한 가짜 GitHub 저장소를 이용했습니다.
ReversingLabs의 연구에 따르면 Ethereum 스마트trac을 이용하여 악성 소프트웨어 URL을 숨기는 멀웨어 캠페인이 발견되었습니다. 조사 결과, 해커들은 다운로더 역할을 하는 colortoolv2와 mimelib2라는 npm 패키지를 사용한 것으로 드러났습니다.
npm 패키지가 설치되면 Ethereum 스마트trac을 쿼리하여 명령 및 제어 인프라(C2)에서 2단계 악성코드를 가져옵니다.
리버싱랩스(ReversingLabs) 연구원 루시야 발렌틱은 이번 공격이 이전에는 볼 수 없었던 독창적인 공격 방식이라고 설명했습니다. 공격자들은 일반적으로 패키지 스크립트 내의 의심스러운 URL을 탐지하는 기존 스캔 방식을 우회했습니다.
공격자들은 악성 소프트웨어를 눈에 잘 띄는 곳에 숨깁니다
Ethereum 스마트trac은 블록체인 기능을 자동화하는 공개 프로그램입니다. 이 경우, 해커들은 이를 이용해 악성 코드를 눈에 띄지 않게 숨길 수 있었습니다. 악성 페이로드는 간단한 index.js 파일에 숨겨져 있었는데, 이 파일이 실행되면 블록체인에 접근하여 명령 및 제어(C2) 서버 정보를 가져오도록 설계되었습니다.
에 따르면 ReversingLabs의 연구다운로더 패키지는 npm에서 표준으로 제공되지 않으며, 블록체인 호스팅은 회피 전략의 새로운 단계를 나타냅니다.
이 발견을 계기로 연구원들은 GitHub 전체를 광범위하게 조사했고, 그 결과 npm 패키지들이 암호화폐 봇으로 위장한 저장소에 숨겨져 있는 것을 발견했습니다. 이 봇들은 Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 등 다양한 이름으로 위장되어 있었습니다. 저장소들은 여러 커밋, 컨테이너, 스타를trac하는 전문적인 도구처럼 위장했지만, 실제로는 조작된 것이었습니다.
연구 결과에 따르면, 커밋을 수행하거나 저장소를 포크한 계정들은 7월에 생성되었으며 코딩 활동은 전혀 기록되지 않았습니다. 대부분의 계정에는 저장소에 README 파일이 포함되어 있었습니다. 커밋 횟수는 코딩 활동을 부풀리기 위해 자동화된 프로세스를 통해 인위적으로 생성된 것으로 밝혀졌습니다. 예를 들어, 기록된 커밋의 대부분은 의미 있는 업데이트가 아닌 라이선스 파일 변경에 불과했습니다.
한 관리자가 사용한 'Pasttimerles'라는 닉네임은 여러 커밋을 공유하는 데 사용된 것으로 밝혀졌습니다. 또 다른 닉네임인 'Slunfuedrac'는 악성 npm 패키지를 프로젝트 파일에 포함시키는 것과 연관되어 있었습니다.
일단 발각되자 해커들은 다른 계정으로 종속성을 계속 변경했습니다. colortoosv2가 발각된 후에는 mimelibv2로, 그 다음에는 mw3ha31q와 cnaovalles로 전환했는데, 이는 각각 커밋 수 증가와 악성 종속성 배치에 기여했습니다.
ReversingLabs의 연구에 따르면 해당 활동은 악성 저장소의 신뢰도를 높이는 조직적인 계정 시스템인 Stargazer의 고스트 네트워크와 연관되어 있습니다. 이 공격은 오픈 소스 암호화폐 도구를 찾는 개발자들을 대상으로 했으며, 이들은 부풀려진 GitHub 통계를 합법적인 계정으로 오인할 수 있습니다.
Ethereum 블록체인 악성코드 삽입은 위협 탐지에 새로운 국면을 열었습니다
이번에 밝혀진 공격은 블록체인 생태계를 겨냥한 일련의 공격에 이은 것입니다. 2025년 3월, ResearchLabs는 정상적인 이더(Ether) 패키지를 리버스 셸 실행을 가능하게 하는 코드로 패치하는 악성 npm 패키지를 발견했습니다. 당시 Ether-provider2 및 ethers-providerZ npm 패키지에서 리버스 셸 실행을 가능하게 하는 악성 코드가 발견되었습니다.
2024년 12월 PyPI의 ultralytics 패키지가 해킹당한 사건을 포함하여, 이전에도 암호화폐 채굴 악성코드를 유포한 사례가 여러 건 드러났습니다. 또한, 구글 드라이브나 깃허브 지스트와 같은 신뢰할 수 있는 플랫폼이 C2 서버를 통해 악성코드를 숨기는 데 사용된 사례dent있었습니다.
연구에 따르면 2024년에는 악성 소프트웨어부터dent정보 유출에 이르기까지 암호화폐 관련 공급망dent가 23건 발생했습니다.
이번에 발견된 방법은 기존의 수법을 활용하면서도 Ethereumtrac방식을 새로운 메커니즘으로 도입했습니다. 리서치 랩의 연구원인 발렌틱은 이번 발견이 오픈 소스 프로젝트와 개발자들을 괴롭히는 악의적인 공격자들이 탐지를 회피하는 전략을 얼마나 빠르게 진화시키고 있는지를 보여준다고 말했습니다.
이번 연구는 오픈 소스 라이브러리를 도입하기 전에 그 신뢰성을 검증하는 것이 얼마나 중요한지 강조했습니다. 발렌틱은 개발자들이 개발 환경에 포함시키기 전에 고려 중인 각 라이브러리를 꼼꼼히 평가해야 한다고 경고했습니다. 그녀는 또한 별점, 커밋 횟수, 관리자 수와 같은 지표들이 쉽게 조작될 수 있다는 점을 지적했습니다.
모두dentnpm에서 삭제되었고 관련 GitHub 계정도 폐쇄되었지만, 이러한 활동은 소프트웨어 위협 생태계가 어떻게 진화하고 있는지를 보여주는 계기가 되었습니다.
암호화폐 뉴스를 단순히 읽는 데 그치지 마세요. 이해하세요. 저희 뉴스레터를 구독하세요. 무료입니다.
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)