사이버 보안 연구자들이 이더리움(Ethereum), 리플(XRP), 솔라나(Solana)를 목표로 하는 악성 소프트웨어 캠페인에 대한 정보를 공유하였다. 이번 공격은 취약해진 노드 패키지 관리자(NPM) 패키지를 통해 아토믹(Atomic) 및 엑소더스(Exodus) 지갑 사용자들을 주로 겨냥한다.

이 악성 코드 공격은 사용자가 모르고 Trojan 패키지를 자신의 프로젝트에 설치하는 것으로 시작된다. 연구자들은 합법적인 것처럼 보이지만 숨겨진 악성 코드를 포함한 “pdf-to-office”라는 패키지가 취약 패키지로 확인되었다. 패키지가 설치되면 시스템에서 설치된 암호화폐 지갑을 검색하고 거래를 가로채는 악성 코드를 주입한다.

연구자들은 이번 캠페인이 소프트웨어 공급망 공격을 통해 암호화폐 사용자를 겨냥한 공격의 격화임을 강조하였다. 이 악성 코드는 이더리움(ETH), 트론 기반 USDT, 리플(XRP), 솔라나(SOL) 등 여러 암호화폐의 거래를 무단으로 리디렉션할 수 있다.

ReversingLabs는 의심스러운 NPM 패키지 분석을 통해 이 캠페인을 식별하고, 의심스러운 URL 연결 및 이전에 확인된 위협과 일치하는 코드 패턴 등 악성 행동의 여러 지표를 발견하였다. 이들의 기술적 검토는 고급 난독화 기법을 사용하여 탐지를 회피하는 다단계 공격을 밝혀냈다.

감염 과정은 악성 패키지가 지갑 소프트웨어를 목표로 하는 페이로드를 실행하며 시작된다. 이 코드는 특정 경로에 있는 애플리케이션 파일을 검색하여 해당 파일을 추출하는 방식으로 작동한다. 이 과정에서는 임시 디렉토리를 생성하고 애플리케이션 파일을 추출한 후 악성 코드를 주입하고, 모든 것을 정상으로 보이게 재포장하는 코드가 실행된다.

악성 소프트웨어는 거래 처리 코드를 수정하여 정당한 지갑 주소를 공격자가 통제하는 주소로 교체한다. 예를 들어 사용자가 ETH를 전송하려고 할 때, 코드는 base64 문자열에서 디코딩된 공격자의 주소로 수신자 주소를 교체한다. 이러한 공격의 영향은 심각할 수 있으며, 사용자 인터페이스에서 거래가 정상적으로 보이는 동안 채권이 공격자에게 전송된다.

사용자는 거래가 손상되었다는 시각적 표시가 없기 때문에 블록체인 거래를 확인하기 전까지는 자신의 자산이 예기치 않은 주소로 전송되는 걸 인지할 수 없다. 이로 인해 투자자들에게는 결과적으로 심각한 재정적 손실이 발생할 수 있다.


crossorigin="anonymous">