최근 사이버 보안 연구원들은 Ethereum, XRP, Solana를 목표로 하는 악성코드 캠페인에 대한 세부 정보를 공개했다. 이 공격은 주로 Atomic과 Exodus 지갑 사용자들을 타겟으로 하며, 손상된 노드 패키지 관리자(NPM) 패키지를 통해 이루어진다. 공격자는 사용자의 인지 없이 거래를 공격자가 제어하는 주소로 리다이렉트하며, 이는 사용자가 알고 있는 소프트웨어에 악성코드를 주입하는 방식으로 진행된다.
이 공격은 개발자가 자신도 모르게 트로이 목마가 포함된 npm 패키지를 설치하면서 시작된다. 연구원들은 “pdf-to-office”라는 합법적으로 보이는 패키지가 숨겨진 악성 코드를 포함하고 있음을 발견했다. 패키지가 설치되면, 시스템 내의 암호화폐 지갑을 스캔하고 거래를 가로채는 악성코드를 주입하게 된다.
사이버 보안 연구원들은 이번 캠페인이 소프트웨어 공급망 공격을 통해 암호화폐 사용자들을 타겟으로 하는 공격이 증가하고 있다는 점에서 주목할 필요가 있다고 지적했다. 이 악성코드는 Ethereum(ETH), Tron 기반 USDT, XRP(XRP), Solana(SOL) 등 여러 암호화폐에 대한 거래를 리다이렉트할 수 있다.
ReverseLabs는 의심스러운 npm 패키지 분석을 통해 이 캠페인을 식별했으며, 이전에 알려진 위협과 일치하는 코드 패턴과 의심스러운 URL 연결의 다수 지표를 발견했다. 그들의 기술 분석에 따르면, 이 공격은 여러 단계를 거쳐 고급 난독화 기술을 사용하여 탐지를 피하는 방식으로 이루어진다고 한다.
이 악성코드는 노트북 또는 데스크탑에 설치된 지갑 소프트웨어를 타겟으로 하여 페이로드를 실행하고, 특정 경로에서 응용 프로그램 파일을 검색하는 방식으로 시작된다. 해당 악성코드는 응용 프로그램 아카이브를 추출하고, 이 과정에서 임시 디렉토리를 생성해 파일을 꺼내서 악성 코드를 주입한 후 원래처럼 보이도록 다시 포장한다.
수정된 코드에서 거래 처리 절차는 합법적인 지갑 주소를 공격자가 제어하는 주소로 대체한다. 예를 들어, 사용자가 ETH를 보내려고 할 때, 해당 코드가 수신 주소를 공격자의 주소로 변경하여 base64 문자열로 인코딩된 값을 디코딩한다. 결과적으로 사용자는 지갑 인터페이스에서 나타나는 정상적인 거래와는 달리 자금이 공격자에게 송금되는 상황을 경험하게 된다.
사용자는 블록체인 거래를 확인하기 전까지는 거래가 타격받았다는 시각적인 표시가 전혀 없으며, 예상치 못한 주소로 자금이 송금되었다는 사실을 알게 된다. 따라서 이러한 악성코드의 영향은 상당히 심각할 수 있다.
이와 같은 상황을 예방하기 위해서는 개발자들이 설치하는 패키지의 출처를 신중히 검토하고, 주기적인 소프트웨어 업데이트와 보안 패치를 통해 시스템을 보호해야 한다. 사이버 보안 커뮤니티는 이러한 악성행위에 대한 인식을 높이고, 피해를 최소화하기 위한 방법을 지속적으로 연구해야 할 필요가 있다.
