이 기사 공유하기
Solana, Sui 및 Aptos 지갑 데이터, TrapDoor 패키지 공격 표적
이 캠페인은 암호화폐, 디파이(DeFi), 인공지능(AI) 및 보안 개발자를 대상으로 가짜 도구 패키지를 배포하여 지갑, SSH 키, GitHub 토큰, 클라우드 자격 증명 및 브라우저 데이터를 탈취하고자 합니다.
알아야 할 것:
- 새롭게 발견된 공급망 캠페인인 TrapDoor는 npm, PyPI 및 Crates.io 전반에 걸쳐 34개 이상의 악성 패키지를 심어 암호화폐 및 클라우드 개발자를 표적으로 삼고 있습니다.
- 평범한 개발자 유틸리티 및 보안 도구로 위장된 해당 패키지들은 SSH 키, 지갑 파일, AWS 자격 증명, GitHub 토큰, 브라우저 데이터 및 기타 민감한 구성 파일을 탈취하도록 설계되었습니다.
- 연구원들은 공격자들이 .cursorrules 및 CLAUDE.md와 같은 AI 구성 파일에 숨겨진 지침을 악용하여 향후 AI 코딩 세션을 탈취하고, 가짜 보안 점검을 실행하여 비밀을 유출하려고 시도했다고 밝혔습니다.
새로운 암호화폐 도난 캠페인이 지갑 키, 클라우드 자격 증명 및 프로덕션 접근 권한을 자신의 기기에 보관하고 있을 가능성이 높은 개발자들을 표적으로 삼고 있습니다.
보안 기업 소켓(Socket)의 연구원들은 이번 주 초, 세 개의 주요 오픈소스 프로그래밍 레지스트리에 걸쳐 퍼진 TrapDoor라는 공급망 공격을 확인했다고 밝혔으며, 34개 이상의 악성 패키지와 수백 개의 관련 버전 및 아티팩트가 포함되어 있다고 전했습니다.
주요 시사점은 공격자들이 점점 더 집중화되고 있다는 것입니다. 핵심 정보를 보유한 개인을 대상으로 하는 소셜 엔지니어링 외에도, 공급망 공격은 무작위 소매 사용자를 겨냥하는 것이 아니라 개발자를 목표로 설계됩니다. 이들은 바로 암호화폐 및 인공지능 도구를 개발하는 데 사용하는 동일한 기계에서 지갑 파일, SSH 키, GitHub 토큰, 클라우드 자격 증명 및 생산 접근 권한을 보유하고 있을 수 있는 사람들입니다.
Socket는 피해자나 도난된 자금을 특정하지는 않았으나, 해당 패키지들이 npm, PyPI 및 Crates.io 전반에 걸쳐 활성화되어 있었으며 지갑 데이터를 탈취하고, 자격 증명을 외부로 빼돌리며, AWS 및 GitHub 토큰을 테스트하고, 지속적인 접근 권한을 유지하기 위해 파일을 남기는 페이로드를 포함하고 있다고 밝혔습니다.
자바스크립트, 파이썬, 러스트로 프로그래밍된 패키지들은 개발자 지원 도구, 보안 스캐너, 지갑 도구, 솔리디티 유틸리티, AI 프롬프트 패키지, 그리고 Sui 또는 Move 빌드 도우미로 위장되었습니다.
설계상 지루함
이름들은 의도적으로 단조롭게 지어졌다. 패키지들은 "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools," "llm-context-compressor"와 같이 명명되었으며, 이는 암호화폐 또는 AI 개발자가 별다른 고민 없이 설치할 법한 소형 유틸리티의 유형처럼 보였다.
설치된 후, 그러나 페이로드는 패키지 데이터보다 훨씬 더 많은 정보를 끌어내려고 시도했습니다.
npm 패키지에서 이 악성코드는 개발자의 컴퓨터를 대상으로 개인 키, 비밀번호, GitHub 토큰 및 클라우드 로그인 정보를 탐색했습니다. 또한 도난당한 일부 자격 증명을 테스트하고 SSH 키를 통해 다른 시스템으로 이동을 시도했으며, 감염을 지속시킬 수 있는 파일들을 남겼습니다.
SSH 키는 개발자가 서버, 코드 저장소 및 기타 장비에 접속할 때 사용하는 로그인 파일입니다. 도난당할 경우, 공격자가 한 대의 침해된 노트북에서 회사의 광범위한 인프라로 이동할 수 있게 할 수 있습니다.
이번 공격은 .cursorrules 및 claude.md와 같은 파일도 활용하는데, 이는 개발자들이 AI 코딩 도구에 프로젝트별 지침을 제공할 수 있도록 합니다. 소켓(Socket)은 이 캠페인이 제로 너비 유니코드 문자(zero-width Unicode characters)를 사용해 숨겨진 지침을 심어, 향후 AI 어시스턴트 세션이 가짜 “보안 스캔”을 실행하여 비밀 정보를 수집·유출하도록 시도한 것으로 보인다고 밝혔습니다.
이로 인해 해당 공격은 단순한 패키지 탈취를 넘어 개발자 환경을 겨냥한 악성 소프트웨어에 더 가까워졌습니다. 패키지 설치는 첫 번째 단계에 불과하며, 실제 목표는 지갑, 저장소, 브라우저 데이터, 클라우드 키, SSH 접근 권한 및 이후에 AI 코딩 도구가 읽어들일 모든 작업 환경인 워크스테이션입니다.
Rust 패키지들은 sui 및 move 개발자들을 겨냥하여 컴파일 중에 실행되는 악성 build.rs 스크립트를 사용했습니다. PyPI 패키지들은 임포트 시 원격 JavaScript를 실행했으며, npm의 패키지들은 postinstall 후크를 활용했습니다.
Socket은 해당 패키지들을 피해를 입은 레지스트리에 보고하였으며, 캠페인 패키지들을 악성으로 분류하였습니다. 회사 측은 공격자가 AI 및 개발자 프로젝트에 대해 일반적인 오픈 소스 기여 경로를 통해 .cursorrules 및 CLAUDE.md 파일을 추가하려고 풀 리퀘스트를 열었다고 경고했습니다.
More For You
비트코인을 위협하는 양자 하드웨어 연구소에 자금을 지원한 벤처 투자자 Andrew Gault는 업계가 잘못된 곳을 주목하고 있다고 말합니다. 구글 자체 보안팀도 3월에 동일한 방향으로 움직였습니다.
알아야 할 것:
- 보안 전문가들은 비트코인 및 더 넓은 금융 시스템에 대한 가장 시급한 양자 위협이 지갑 키가 아니라 이미 기관 간에 이동하고 있으며 오늘날 조용히 수집되고 있는 암호화된 인증 데이터라고 경고하고 있습니다.
- 공격자들은 “지금 수집하고 나중에 복호화” 전략을 추구하며, 양자 컴퓨터가 충분히 강력해질 때를 대비해 암호화된 은행 간 메시지, 결제 기록 및...
주요 뉴스
