해커들이 NPM 자바스크립트 라이브러리를 이용한 후 암호화폐 사용자들이 위험에 처했습니다.

해커들이 인기 있는 NPM 패키지를 해킹하여 악성 코드를 주입, 이로 인해 해당 패키지를 다운로드한 수십억 명의 사용자들로부터 암호화폐 자금을 훔쳤습니다.

노드 패키지 매니저(Node Package Manager, NPM) 생태계가 지금까지 있었던 가장 큰 공급망 공격을 경험했습니다. 이 사실은 처음으로 Bleeping Computer(BC)에서 보도했습니다. 해커들이 인기있는 자바스크립트 라이브러리에 악성코드를 삽입하여, 사용자들이 매주 수십억 번씩 다운로드하는 상황이 발생했습니다..

공격자들은 가짜 NPM 지원 이메일을 사용하여 패키지 관리자에게 거짓 경보를 보내, 그들에게 이중 인증을 업데이트하도록 요청했습니다.

대상을 노린 관리자인 조시 주논(qix)은 이 피싱 공격을 확인하였으며, 이는 ‘npmjs[.]help’라는 가짜 도메인에서 왔음을 밝혔습니다. 공격자들은 널리 사용되는 세 가지 패키지, 즉 chalk, strip-ansi, debug에 해로운 코드를 도입했습니다. 이들 패키지는 매주 26억회 이상 다운로드되고 있습니다.

CoinTelegraph는 이 맬웨어가 크립토-클리퍼로서 작동하며 웹 브라우저의 암호화폐 주소 거래를 모니터링하고, 이를 공격자가 제어하는 주소로 교체한다고 설명합니다.

에이키토 보안의 찰리 에릭센은 BC에 보도된 바와 같이 “패키지들이 웹사이트 클라이언트에서 실행될 코드를 포함하도록 업데이트되었으며, 이는 브라우저 내에서 은밀하게 크립토와 web3 활동을 가로채고, 지갑 상호작용을 조작하며, 결제 목적지를 재작성합니다.”라고 설명했습니다.

그는 덧붙였다. “이것이 위험한 것은 웹사이트에 표시되는 내용을 변경하고, API 호출을 조작하며, 사용자의 앱이 서명하고 있다고 생각하는 것을 조작하는 등 여러 계층에서 작동한다는 점이다.”

코인텔레그래프는 이 공격이 특히 웹 기반 애플리케이션을 통해 손상된 패키지를 설치하거나 업데이트한 사용자를 대상으로 한다고 지적했다. 고정된 이전 버전을 사용하는 개발자들은 보호를 받지만, 최신 소프트웨어 지갑에 의존하는 소프트웨어 지갑 사용자들은 가장 큰 위험에 직면하고 있다.

수동 거래 확인이 필요한 하드웨어 지갑은 가장 강력한 보안 보호를 제공합니다.

BC는 NPM이 디버그 패키지를 포함한 일부 악성 버전을 제거했으며, 이는 주당 357.6백만 번 다운로드되었다고 말합니다. 보안 전문가들은 모든 영향을 받은 패키지가 완벽한 보안 업데이트를 완료할 때까지 사용자들이 암호화폐 거래를 주의 깊게 다루도록 조언합니다.