Ledger 최고기술책임자(CTO), 10억 회 이상 다운로드된 NPM 공급망 공격 경고

하드웨어 지갑 제조업체 Ledger의 최고기술책임자(CTO) 찰스 기예메 Charles Guillemet, X에서 경고 월요일, 신뢰받는 개발자의 Node Package Manager (NPM) 계정이 침해된 이후 대규모 공급망 공격이 진행 중임을 발표했습니다.

Guillemet에 따르면, 이미 10억 건 이상의 다운로드를 기록한 패키지에 삽입된 악성 코드는 거래 시 암호화폐 지갑 주소를 몰래 교체하도록 설계되었습니다. 이는 사용자가 이를 인지하지 못한 채 공격자에게 직접 자금을 전송할 수 있음을 의미합니다.

길레메는 본인이 계정이 탈취되었다고 언급한 개발자의 이름을 밝히지 않았다.

이 사건은 오픈소스 소프트웨어가 얼마나 깊이 상호 연결되어 있는지와 개발자 도구의 보안 결함이 어떻게 거의 즉시 암호화폐 경제에 파급 효과를 미칠 수 있는지를 강조한다.

“NPM은 자바스크립트를 사용하는 소프트웨어 개발에서 널리 사용되는 도구로, 개발자들이 패키지를 쉽게 통합할 수 있도록 해준다”고 Guillaume는 코인데스크에 전했다. 공격자가 개발자의 계정을 침해할 경우, 널리 사용되는 패키지에 악성 코드를 삽입할 수 있다.

“악성 코드는 트랜잭션이나 일반 온체인 활동에 사용된 주소를 교환하여 사용자의 자산을 탈취하고 해커의 주소로 대체하려 시도합니다,”라고 Guillemet가 덧붙였습니다.

Guillemet는 모든 블록체인에 걸쳐 어떤 분산 애플리케이션이나 소프트웨어 지갑이 이러한 JavaScript 패키지를 포함할 경우, 해당 애플리케이션이나 지갑이 해킹당할 수 있으며, 이에 따라 암호화폐 사용자가 자금을 잃을 위험이 있다고 강조했다.

“이 문제를 확실히 해결하는 유일한 방법은 클리어 사인을 지원하는 보안 화면이 탑재된 하드웨어 지갑을 사용하는 것입니다,”라고 기예메가 코인덱스에 밝혔다. “이를 통해 사용자는 자금이 전송되는 주소를 정확히 확인할 수 있으며, 의도한 주소와 일치하는지 확인할 수 있습니다.”

"보안 화면이 없는 하드웨어 지갑과 클리어 서명을 지원하지 않는 모든 지갑은 거래 내역이 정확한지 정확하게 확인할 수 없기 때문에 높은 위험에 노출되어 있습니다,"라고 그는 덧붙였습니다.

"모든 분들께 다시 한 번 상기시킬 기회입니다: 항상 거래 내역을 확인하고, 맹목적으로 서명하지 마시며, 보안 화면이 있는 하드웨어 지갑을 사용하고, 모든 서명을 명확히 하십시오,"라고 Guillemet가 말했습니다.

자세히 읽기: 레저 CTO, 신규 지갑 복구 서비스에 대한 비판에 답하다