대규모 해킹 공격 발생
이번 주 초, 악성 JavaScript 코드와 관련된 대규모 해킹 공격이 발생했습니다. Arkham Intelligence의 데이터에 따르면, 이번 사건에서 도난당한 암호화폐는 단 1,043달러에 불과한 것으로 나타났습니다.
공급망 공격 분석
Wiz의 사이버 보안 연구원들은 어제 “광범위한” 공급망 공격에 대한 분석을 발표하며, 악의적인 행위자들이 인기 있는 JavaScript 코드 패키지 개발자인 Qix(Josh Junon)의 GitHub 계정을 사회 공학 기법을 통해 제어했다고 밝혔습니다.
해커들은 이러한 패키지 중 일부에 대한 업데이트를 게시하며, API 및 암호 지갑 인터페이스를 활성화하고, 암호화폐 거래를 스캔하여 수신자 주소 및 기타 거래 데이터를 재작성하는 악성 코드를 추가했습니다.
“10%의 클라우드 환경이 악성 코드의 일부 인스턴스를 포함하고 있으며, 99%의 모든 클라우드 환경이 해커들이 목표로 삼은 패키지를 사용하고 있다.”
그러나 이러한 클라우드 환경 모두가 감염된 업데이트를 다운로드한 것은 아닙니다. 해킹 사건의 잠재적 규모에도 불구하고, Arkham의 최신 데이터에 따르면 위협 행위자의 지갑은 현재까지 상대적으로 적은 금액인 1,043달러를 수령한 것으로 보입니다.
해킹 사건의 확장
같은 해킹 사건은 Qix의 npm 패키지를 넘어 확장되었으며, 어제 JFrog Security의 업데이트에 따르면 DuckDB SQL 데이터베이스 관리 시스템이 손상되었다고 합니다. 이 업데이트는 또한 이 해킹 사건이 “역사상 가장 큰 npm 손상으로 보인다”고 언급하며 공격의 경고할 만한 규모와 범위를 강조했습니다.
Wiz Research의 연구원들은 Decrypt에 대해 이러한 소프트웨어 공급망 공격이 점점 더 흔해지고 있다고 말했습니다. “공격자들은 단일 패키지나 종속성을 손상시키는 것이 수천 개의 환경에 동시에 접근할 수 있게 해준다는 것을 깨달았다”고 그들은 말했습니다.
개발자들의 인식과 대응
Wiz Research는 “특히 npm 생태계는 그 인기도와 개발자들이 전이 종속성에 의존하는 방식 때문에 자주 표적이 되고 있다”고 말했습니다. Wiz의 블로그에서 Qix 해킹에 대한 저자 중 한 명인 Hila Ramati, Gal Benmocha, Danielle Aminov이 포함되어 있습니다.
Wiz에 따르면, 이번 사건은 개발 파이프라인을 보호할 필요성을 강조하며, 조직들은 전체 소프트웨어 공급망에 대한 가시성을 유지하고 비정상적인 패키지 행동을 모니터링할 것을 권장하고 있습니다. 이는 Qix 해킹 사건의 경우 많은 조직과 기관이 감지한 것처럼 보이며, 게시 후 2시간 이내에 발견되었습니다.
“빠른 감지는 해킹 사건의 재정적 피해가 제한된 주요 이유 중 하나였다.”
Wiz Research는 다른 요인도 작용했을 것이라고 제안합니다. “페이로드는 특정 조건을 가진 사용자만을 겨냥하도록 좁게 설계되어 있어 그 범위가 줄어들었을 가능성이 있다”고 그들은 말했습니다. Wiz의 연구원들은 또한 개발자들이 이러한 위협에 대해 더 잘 인식하고 있으며, 많은 개발자들이 심각한 피해가 발생하기 전에 의심스러운 활동을 포착하기 위한 보호 장치를 마련하고 있다고 덧붙였습니다.
“빠른 감지와 제거 노력이 공격자의 성공을 제한한 것으로 보인다.”
