플라밍고 파이낸스는 npm에서 발생한 최근 두 건의 공급망 침해 사건의 영향을 받지 않았음을 확인했습니다. 첫 번째 사건은 암호화폐 사용자를 대상으로 널리 사용되는 18개의 자바스크립트 패키지에 지갑 해킹 코드를 삽입하는 것이었습니다.
며칠 후, 또 다른 캠페인으로 인해 자체 복제 웜이 포함된 40개 이상의 패키지가 손상되었습니다.
공급망 공격이란 무엇인가요?
공급망 공격은 다른 사람들이 사용하는 소프트웨어 구성 요소에 악성 코드가 침투할 때 발생합니다. 오픈소스 라이브러리는 수많은 프로젝트에서 재사용되기 때문에 단 한 번의 침해만으로도 생태계 전체에 광범위하게 확산될 수 있습니다.
최신 개발 관행은 위험을 더욱 심화시킬 뿐입니다. 애플리케이션은 소수의 개인이 관리하는 수백 개의 소규모 라이브러리에 의존하는 경우가 많습니다. AI 지원 코딩이 더 많은 패키지를 자동으로 가져오면서 종속성 수와 공격 표면은 계속해서 증가하고 있습니다.
맬웨어가 작동하는 방식
암호화 중심 사건에서 공격자는 단일 관리자 계정을 장악하여 npm 게시 권한을 획득했고, 이를 통해 악성 코드를 유포했습니다. 보안 회사인 Aikido와 Socket은 이 사건을 탐지했으며, 이 공격이 매주 수십억 건의 다운로드에 영향을 미쳤을 수 있다고 밝혔습니다.
최초의 악성코드는 브라우저 기반 인터셉터를 사용했습니다. fetch , XMLHttpRequest , 지갑 API와 같은 핵심 함수에 침투하여 이더리움 가상 머신(EVM) 전송 요청을 스캔했습니다. 거래가 감지되면, 의심을 피하기 위해 공격자가 제어하는 주소로 대상 주소를 자동으로 변경했습니다.
며칠 후 발견된 이 웜은 다른 의도를 가지고 있었습니다. 개발자 환경에서 npm 토큰, SSH 키, 그리고 기타 자격 증명을 수집한 후, 다른 패키지에 다시 배포했습니다. 암호화폐를 직접 공격 대상으로 삼지는 않았지만, 단 한 번의 침해가 레지스트리 전체에 얼마나 빠르게 확산될 수 있는지를 보여주었습니다.
암호화폐 사용자에게 미치는 영향
공격자들은 초기에 메타마스크와 같은 이더리움 호환 지갑을 노렸습니다. 감염된 패키지의 범위에도 불구하고, 블록체인 감시 시스템은 공격자 주소로 유입된 미화 500달러 미만의 자금만 추적했습니다.
전문가들은 신속한 감지와 대응이 피해를 최소화하는 데 도움이 되었다고 평가했습니다.
플라밍고 파이낸스는 자사의 탈중앙거래소(DEX) 직접적인 이더리움 가상 머신(EVM) 전송 흐름에 의존하지 않기 때문에 영향을 받지 않았다고 밝혔습니다. 대신, 크로스체인 운영에만 이더리움 가상 머신(EVM) 사용하며, 이는 맬웨어가 악용하려고 시도하지 않은 부분입니다.
구조적 위험
두 사건 모두 오픈소스 공급망의 취약성을 여실히 보여줍니다. 단 하나의 인증 정보 유출로 수십억 건의 다운로드가 노출될 수 있습니다. 이러한 패키지의 상당수는 표적 공격에 대응할 자원이 부족한 개인이나 소규모 팀에 의해 관리되고 있습니다.
연구자들은 유지 관리자를 위한 필수 하드웨어 키, 더욱 엄격한 게시 권한, 그리고 신규 릴리스에 대한 암호화 증명 등 더욱 강력한 보호 조치를 요구해 왔습니다. 이러한 변화가 없다면 피싱과 신원 정보 도용은 공격자에게 여전히 확실한 진입점으로 남을 것입니다.
안전하게 지내기
개발자를 위한 방어적 조치에는 하드웨어 지원 인증 적용, 게시 권한 제한, 자격 증명 순환, 종속성 버전 고정, 빌드에서 이상 검사 등이 있습니다.
CI/CD 파이프라인에 출처 증명을 도입하면 노출이 더욱 줄어듭니다.
최종 사용자는 새로운 버전이 검토될 때까지 업데이트를 지연하고, 지갑에 연결된 앱과 확장 프로그램의 수를 최소화하고, 상당한 잔액의 경우 하드웨어 또는 다중 서명 지갑을 사용함으로써 위험을 줄일 수 있습니다.
