사이버 보안 연구원들이 이더리움, XRP 및 솔라나를 타겟으로 하는 악성코드 캠페인에 대한 세부 정보를 공유했습니다.
이번 공격은 주로 손상된 노드 패키지 관리자(NPM) 패키지를 통해 Atomic 및 Exodus 지갑 사용자들을 겨냥합니다.
그 후, 공격자는 지갑 소유자의 모르게 거래를 공격자가 통제하는 주소로 리디렉션합니다. 공격은 개발자가 자신도 모르게 트로이 목마화된 npm 패키지를 프로젝트에 설치할 때 시작됩니다. 연구원들은 ‘pdf-to-office’를 합법적으로 보이지만 숨겨진 악성 코드를 포함한 손상된 패키지로 식별했습니다.
설치가 완료되면 이 패키지는 시스템에서 설치된 암호화폐 지갑을 검색하고 거래를 가로채는 악성 코드를 주입합니다.
‘타겟팅의 증가’
“이번 캠페인은 소프트웨어 공급망 공격을 통해 암호화폐 사용자를 겨냥하는 지속적인 공격의 증가를 나타냅니다.” 연구원들은 보고서에서 언급했습니다.
이 악성코드는 이더리움(ETH), 트론 기반 USDT, XRP(XRP) 및 솔라나(SOL) 등 여러 암호화폐의 거래를 리디렉션할 수 있습니다.
ReversingLabs는 의심스러운 npm 패키지에 대한 분석을 통해 이 캠페인을 식별하고, 의심스러운 URL 연결 및 이전에 식별된 위협과 일치하는 코드 패턴을 포함한 여러 악성 행동 지표를 탐지했습니다. 그들의 기술적 검토는 탐지를 피하기 위해 고급 난독화 기술을 사용하는 다단계 공격을 드러냅니다.
감염 과정은 악성 패키지가 시스템에 설치된 지갑 소프트웨어를 겨냥한 페이로드를 실행할 때 시작됩니다. 이 코드는 특정 경로에서 응용 프로그램 파일을 검색합니다.
악성코드의 영향
위치가 확인되면 악성코드는 응용 프로그램 아카이브를 추출합니다. 이 과정은 임시 디렉토리를 생성하고, 응용 프로그램 파일을 추출하고, 악성 코드를 주입한 후 모든 것을 정상적으로 보이도록 재포장하는 코드로 실행됩니다.
악성코드는 거래 처리 코드를 수정하여 합법적인 지갑 주소를 공격자가 통제하는 주소로 base64 인코딩을 사용하여 교체합니다.
예를 들어, 사용자가 ETH를 전송하려고 할 때, 코드는 수신자 주소를 base64 문자열에서 디코딩된 공격자의 주소로 교체합니다.
이 악성코드의 영향은 치명적일 수 있습니다. 왜냐하면 지갑 인터페이스에서 거래가 정상적으로 보이는 동안 자금이 공격자에게 전송되기 때문입니다.
사용자는 블록체인 거래를 확인하고 자금이 예상치 못한 주소로 전송된 것을 발견할 때까지 자신의 거래가 손상되었다는 시각적 신호가 없습니다.
자세히 알아보기: 암호화폐, DeFi가 트럼프 덕분에 법적 승리를 얻다 | 주간 요약