보안업체 모사일(Mosyle)은 안티바이러스 소프트웨어 탐지를 우회하고 암호화폐 브라우저 지갑에서 정보를 훔칠 수 있는 악성코드 변종을 발견했습니다. 이 악성코드는 가짜 채용 광고를 통해 온라인에 유포됩니다.
주요 안티바이러스 소프트웨어는 ModStealer 악성코드를 거의 한 달 동안 탐지하지 못하다가 나중에 보고했습니다. 이 악성코드는 Node.js 환경에서 작업 중인 개발자를 표적으로 삼았습니다. ModStealer는 브라우저 기반 암호화폐 지갑 확장 프로그램, 시스템dent증명 및 디지털 인증서를 스캔한 후 탈취한 정보를 명령 및 제어(C2) 서버로 전송합니다. C2 서버는 사기꾼들이 감염된 장치를 관리하는 중앙 허브 역할을 합니다.
ModStealer는 Node.js를 악용하여 개인 키를 탈취합니다
9to5Mac 의 조사에 따르면 matic 도우미 프로그램으로 위장하여 지속적으로 실행되도록 했습니다 . 감염된 시스템에서는 sysupdater.dat이라는 파일이 발견되었고, 의심스러운 서버와의 비정상적인 연결이 확인되었습니다.
블록체인 보안 회사인 슬로우미스트(SlowMist)의 최고 정보 보안 책임자(CISO)인 샨 장(Shan Zhang)은 모드스티러(ModStealer)가 주요 안티바이러스 소프트웨어의 탐지를 회피하며 디지털 자산 생태계에 상당한 위협을 가한다고 밝혔습니다. 그는 또한 이 악성코드가 여러 플랫폼을 지원하고 은밀하게 실행된다는 점에서 기존 악성코드와 차별화된다고 덧붙였습니다.
레저(Ledger)의 CTO인 찰스 길레멧은 공격자들이 노드 패키지 관리자(npm) 개발자 계정을 탈취하여 악성 코드를 유포하려 시도한 또 다른 유사한 공격 사례를 공개했습니다 dent 들이 블록체인 관련 코드 라이브러리가 얼마나 취약할 수 있는지를 보여준다고 경고했습니다.
"공격자들의 실수로 인해 CI/CD 파이프라인이 다운되면서 조기 발견과 피해 최소화가 가능했습니다. 하지만 이는 분명한 경고입니다. 소프트웨어 지갑이나 거래소에 자금을 보관하고 있다면, 단 한 번의 코드 실행으로 모든 자금을 잃을 수 있습니다. 공급망 침해는 여전히 강력한 악성코드 유포 경로이며, 최근에는 더욱 정교한 표적 공격도 나타나고 있습니다."
– Charles Guillemet , Ledger CTO
장 박사는 모드스티러(ModStealer) 악성코드가 암호화폐 사용자 및 플랫폼에 직접적인 위협이 된다고 경고하며, 개인 사용자의 경우 개인 키, 시드 구문, 거래소 API 키 등이 유출될 경우 즉각적인 손실이 발생할 수 있다고 덧붙였습니다. 그는 또한 브라우저 확장 프로그램 지갑 데이터의 대량 유출이 대규모 온체인 공격을 부추기고 사용자 신뢰를 약화시키며 암호화폐 공급망 전반의 위험을 증가시킬 수 있다고 지적했습니다.
새로운 사이버 공격이 암호화폐 지갑 데이터를 노리고 있습니다
기예메는 발견했습니다 . 영향을 받은 패키지들은 매주 10억 회 이상 다운로드되었으며, 이는 블록체인 생태계에 심각한 위협이 됩니다.
해당 악성 소프트웨어는 암호화폐 거래 정보를 변조하는 크립토 클리퍼(crypto-clipper)로 작동하여 네트워크 요청에서 지갑 주소를 바꿔치기하거나 MetaMask 및 기타 지갑을 통해 시작된 거래를 수정할 수 있었습니다. 이 공격은 사소한 CI/CD 파이프라인 빌드 오류를 통해 발견되었습니다. 연구원들은 이후 해당 악성 소프트웨어가 두 가지 전략을 사용한다는 사실을 밝혀냈습니다. 첫 번째 전략은 수동적 주소 교체로, 나가는 트래픽 요청을 모니터링하고 지갑 주소를 공격자가 제어하는 주소로 바꾸는 방식입니다. 이 방식은 유사한 주소를 선택하는 레벤슈타인 거리 알고리즘을 사용하여 시각적으로 변경 사항을 감지하기 어렵게 만듭니다.
공격자들이 사용한 또 다른 방법은 능동적인 거래 가로채기였습니다. 이는 암호화폐 지갑이 감지되면 사용자 승인을 위해 전달되기 전에 메모리에 저장된 보류 중인 거래를 수정하는 방식입니다. 이로 인해 사용자는 공격자의 지갑으로 직접 송금 서명을 하도록 유도되었습니다.
최근 Cryptopolitan 에서도 유사한 사건 dent 보고 되었는데 Ethereum 스마트 계약 trac . 이 공격은 colortoolv2와 mimelib2를 포함한 npm 패키지를 통해 다운로드되었으며, 이러한 패키지들이 2단계 에이전트 역할을 하여 Ethereum 블록체인에 저장된 악성 소프트웨어를 가져왔습니다.
리버싱랩스는 악성 소프트웨어가 Ethereum 스마트trac내에 악성 URL을 숨겨 보안 검사를 우회했다고 밝혔습니다. 이후 이 악성 소프트웨어는 암호화폐 거래 봇으로 위장한 가짜 깃허브 저장소를 통해 다운로드되었습니다. 이 공격은 악성 저장소의 합법성을 높이는 조직적인 공격 시스템인 스타게이저의 고스트 네트워크와 연관되어 있습니다.
