악의적인 공격자들이 이제 합법적인 프로젝트에 악성 코드를 삽입하여 사용자들이 미처 알지 못하는 사이에 디지털 자산을 훔치고 있습니다. 보고서에 따르면, 사이버 보안 연구원들은 손상된 npm 패키지를 통해 암호화폐 사용자들을 표적으로 삼는 정교한 악성코드 캠페인을 발견했습니다.
보고서에 따르면, 이번 공격은 특히 아토믹(Atomic) 및 엑소더스(Exodus) 지갑 사용자를 표적으로 삼았으며, 공격자는 악성 코드를 주입하여 거래 자금을 자신의 지갑으로 이체하는 방식으로 거래를 가로챘습니다. 이번 공격은 소프트웨어 공급망 공격을 통해 암호화폐 사용자를 겨냥한 일련의 공격과 맥락을 같이합니다.
이러한 공격은 대개 개발자로부터 시작되며, 대부분의 개발자는 자신도 모르게 악성 npm 패키지를 프로젝트에 설치합니다. 이번 공격에서dent된 악성 패키지 중 하나는 "pdf-to-office"로, 겉보기에는 정상적인 패키지처럼 보이지만 악성 코드가 숨겨져 있습니다. 이 패키지는 설치 후 사용자의 기기에서 설치된 암호화폐 지갑을 검색하고, 사용자가 모르는 사이에 거래를 가로채거나 다른 곳으로 전송할 수 있는 악성 코드를 삽입합니다.
사이버 보안 연구원들이 암호화폐 지갑을 표적으로 하는 악성 코드를 발견했습니다
이 공격은 피해자에게 매우 심각한 영향을 미칩니다. 악성 코드는 사용자가 자금을 이체하려는 순간, 정상적인 지갑 주소를 공격자가 제어하는 지갑 주소로 교묘하게 변경합니다. 이러한 공격은 Ethereum, Solana, XRP, Tron기반 USDT 등 다양한 디지털 자산에서 발생합니다. 악성코드는 사용자가 자금을 이체하려는 시점에 지갑 주소를 공격자가 제어하는 주소로 변경하는 방식으로 공격을 실행합니다.
ReversingLabs 들이 의심스러운 npm 패키지를 분석하는 과정에서 발견되었습니다 . 연구원들은 의심스러운 URL 연결과 이전에 발견된 악성 패키지와 유사한 코드 패턴 등 악성 행위를 암시하는 여러 징후를 발견했다고 밝혔습니다. 또한 이번 주에 이 악성 코드를 사용하려는 시도가 여러 건 있었다고 언급했습니다. 연구원들은 공격자들이 지속성을 유지하고 탐지를 회피하기 위해 이러한 기법을 사용하고 있다고 추정합니다.
"가장 최근에는 4월 1일에 시작된 캠페인에서 PDF 파일을 마이크로소프트 오피스 문서로 변환하는 라이브러리로 위장한 'pdf-to-office'라는 패키지가 npm 패키지 관리자에 게시되었습니다. 이 패키지가 실행되면 Atomic Wallet과 Exodus와 같은 합법적인 암호화폐 지갑 소프트웨어에 악성 코드가 삽입되어 기존의 정상 파일을 덮어쓰게 됩니다."라고 ReversingLabs는 밝혔습니다.
감염 메커니즘 및 코드 주입
기술적 분석에 따르면, 이 공격은 여러 단계로 진행되며 사용자가 패키지를 설치하는 순간부터 시작됩니다. 이후 지갑dent, 파일trac, 악성 코드 삽입, 그리고 최종적으로 거래 탈취에 이르는 과정이 이어집니다. 공격자들은 또한 의도를 숨기기 위해 난독화 기법을 사용하여 기존 도구로는 탐지하기 어렵게 만들고, 사용자가 알아차릴 때는 이미 너무 늦은 경우가 많습니다.
설치 후, 악성 패키지가 설치된 지갑 소프트웨어를 대상으로 페이로드를 실행하면서 감염이 시작됩니다. 해당 코드는 지갑 애플리케이션 파일의 위치를dent후,tron기반 애플리케이션에서 사용하는 ASAR 패키지 형식을 공격합니다. 특히, "AppData/Local/Programs/atomic/resources/app.asar"와 같은 경로에서 파일을 찾습니다. 파일을 발견하면 악성코드는 애플리케이션 아카이브를trac하고 악성 코드를 삽입한 후 아카이브를 다시 생성합니다.
이 악성코드는 특히 지갑 소프트웨어 내의 자바스크립트 파일, 특히 "vendors.64b69c3b00e2a7914733.js"와 같은 벤더 파일을 표적으로 삼습니다. 악성코드는 거래 처리 코드를 수정하여 실제 지갑 주소를 base64 인코딩을 사용하여 공격자의 주소로 바꿔치기합니다. 예를 들어, 사용자가 Ethereum전송하려고 하면, 코드는 수신자 주소를 디코딩된 주소로 대체합니다.
감염이 완료되면 악성코드는 명령 및 제어 서버를 사용하여 사용자의 홈 디렉터리 경로를 포함한 설치 상태 정보를 전송합니다. 이를 통해 공격자는 감염 추적 trac 감염된 시스템에 대한 정보를 수집할 수 있습니다. ReversingLabs에 따르면, 이 악성 경로는 지속성 또한 보여주는데, 패키지를 제거한 후에도 감염된 시스템에 Web3 지갑이 여전히 남아 있는 것으로 나타났습니다.
