암호화폐 해커들이 이제 이더리움 스마트 계약을 이용해 악성코드 페이로드를 은폐하고 있다

이더리움은 최신 소프트웨어 공급망 공격의 전선이 되었다.

ReversingLabs 연구원들 이번 주 초 이더리움 스마트 계약을 활용하여 악성 코드를 숨기고 전통적인 보안 검사를 우회할 수 있는 악성 NPM 패키지 두 건을 발견했습니다.

NPM은 런타임 환경인 Node.js의 패키지 관리자이며, 전 세계에서 가장 큰 소프트웨어 레지스트리로 간주됩니다. 개발자들은 이를 통해 수백만 개의 소프트웨어 프로그램에 기여하는 코드를 접근하고 공유할 수 있습니다.

7월에 널리 사용되는 Node Package Manager 저장소에 "colortoolsv2"와 "mimelib2" 패키지가 업로드되었습니다. 겉보기에는 단순한 유틸리티로 보였으나, 실제로는 이더리움 블록체인을 활용하여 숨겨진 URL을 가져왔고, 이를 통해 감염된 시스템이 2단계 악성코드를 다운로드하도록 유도하였습니다.

이러한 명령어들을 스마트 계약 내에 삽입함으로써, 공격자들은 그들의 활동을 합법적인 블록체인 트래픽으로 위장하여 탐지를 더욱 어렵게 만들었습니다.

“이는 이전에 본 적 없는 현상입니다,” ReversingLabs 연구원 루치자 발렌틱이 보고서에서 밝혔습니다. “이는 오픈 소스 저장소와 개발자를 대상으로 활동하는 악의적 행위자들이 탐지 회피 전략을 빠르게 진화시키고 있음을 보여줍니다.”

이 기법은 오래된 전략을 기반으로 합니다. 과거 공격들은 GitHub Gists, Google Drive, 또는 OneDrive와 같은 신뢰받는 서비스를 이용하여 악성 링크를 호스팅했습니다. 대신에 이더리움 스마트 계약을 활용함으로써, 공격자들은 이미 위험한 공급망 전술에 암호화폐 특유의 변형을 더했습니다.

이번 사건은 보다 광범위한 캠페인의 일환입니다. ReversingLabs는 암호화폐 거래 봇으로 가장한 가짜 GitHub 저장소와 연관된 패키지를 발견했습니다. 이 저장소들은 신뢰성을 갖추기 위해 위조된 커밋, 허위 사용자 계정, 그리고 부풀려진 스타 수로 포장되어 있었습니다.

코드를 가져온 개발자들은 이를 인지하지 못한 채 악성 소프트웨어를 불러올 위험에 노출되었습니다.

오픈소스 암호화 툴링에서의 공급망 위험은 새로운 문제가 아닙니다. 지난해 연구진들은 npm 및 PyPI와 같은 저장소를 통해 개발자를 대상으로 한 20건 이상의 악성 캠페인을 경고했습니다.

많은 공격은 지갑 자격 증명을 훔치거나 암호화폐 채굴기를 설치하는 것을 목표로 했습니다. 그러나 이더리움 스마트 계약을 전달 메커니즘으로 사용하는 것은 적들이 블록체인 생태계에 빠르게 적응하여 스며들고 있음을 보여줍니다.

개발자들이 주목할 점은 인기 있는 커밋이나 활발한 유지 관리자가 조작될 수 있으며, 겉보기에는 무해한 패키지에도 숨겨진 페이로드가 포함될 수 있다는 것입니다.