악성 풀 리퀘스트가 이더리움 코드 확장에 삽입됨: 연구

7시간 전
5분 읽기
1 조회수

사이버 보안 경고: 이더리움 개발자를 겨냥한 악성 코드

사이버 보안 회사 ReversingLabs의 연구에 따르면, 해커가 이더리움 개발자를 위한 코드 확장에 악성 풀 리퀘스트를 삽입했습니다. 이 악성 코드는 이더리움 개발자들이 EVM 호환 스마트 계약 및 dapp을 구축하고 배포하는 데 사용하는 오픈 소스 도구 모음인 ETHcode의 업데이트에 포함되었습니다.

ReversingLabs의 블로그에 따르면, 두 개의 악성 코드 라인이 43개의 커밋과 4,000개의 업데이트된 라인으로 구성된 GitHub 풀 리퀘스트에 숨겨져 있었으며, 주로 새로운 테스트 프레임워크와 기능을 추가하는 것과 관련이 있었습니다.

이 업데이트는 이전 기록이 없는 사용자 Airez299에 의해 6월 17일 GitHub에 추가되었습니다. 풀 리퀘스트는 GitHub의 AI 리뷰어와 ETHcode를 만든 그룹인 7finney의 구성원에 의해 분석되었습니다. 요청된 변경 사항은 사소한 것들이었으며, 7finney나 AI 스캐너는 의심스러운 점을 발견하지 못했습니다.

Airez299는 첫 번째 악성 코드 라인의 성격을 기존 파일과 유사한 이름으로 숨기고, 코드 자체를 난독화하여 읽기 어렵게 만들었습니다. 두 번째 코드 라인은 첫 번째 코드를 활성화하는 기능을 하며, ReversingLabs에 따르면 궁극적으로는 공용 파일 호스팅 서비스에서 배치 스크립트를 다운로드하고 작동시키는 자동화된 기능(파워셸)을 생성하는 목적을 가지고 있습니다.

악성 코드의 영향과 개발자들의 경각심

ReversingLabs는 이 스크립트가 정확히 무엇을 하는지 여전히 조사 중이며, “피해자의 기계에 저장된 암호 자산을 훔치거나, 또는 확장 사용자가 개발 중인 이더리움 계약을 손상시키기 위한 것”이라는 가정을 하고 있습니다.

Decrypt와의 인터뷰에서 블로그 저자 Petar Kirhmajer는 ReversingLabs가 악성 코드가 실제로 토큰이나 데이터를 훔치는 데 사용되었다는 징후나 증거가 없다고 보고했습니다. 그러나 Kirhmajer는 블로그에서 ETHcode가 6,000회 설치되었으며, 자동 업데이트의 일환으로 배포된 풀 리퀘스트가 “수천 개의 개발자 시스템으로 퍼졌을 수 있다”고 썼습니다.

이는 잠재적으로 우려스러운 일이며, 일부 개발자들은 이와 같은 악용이 암호화폐 분야에서 자주 발생한다고 제안합니다.

이 산업이 오픈 소스 개발에 크게 의존하고 있기 때문입니다. 이더리움 개발자이자 NUMBER GROUP 공동 창립자인 Zak Cole에 따르면, 많은 개발자들이 오픈 소스 패키지를 제대로 확인하지 않고 설치합니다. “악성 코드를 삽입하는 것이 너무 쉽습니다,”라고 그는 Decrypt에 말했습니다.

개발자들이 취해야 할 예방 조치

Cole은 이러한 일이 특별히 새로운 것은 아니지만, “공격 가능한 표면이 확산되고 있다”고 강조했습니다. 점점 더 많은 개발자들이 오픈 소스 도구를 사용하고 있기 때문입니다. “또한, 이러한 악용을 실행하는 전담 DPRK 요원들이 가득한 창고가 있다는 점도 기억하세요,”라고 그는 말했습니다.

Cole은 아마도 많은 개발자들이 인식하지 못하는 악성 코드가 더 많이 숨어 있을 것이라고 제안했습니다. 그러나 Kirhmajer는 Decrypt에 “성공적인 시도는 매우 드물다”고 전했습니다. 이는 개발자들이 손상된 코드를 사용할 가능성을 줄이기 위해 무엇을 할 수 있는지에 대한 질문으로 이어지며, ReversingLabs는 다운로드하기 전에 기여자의 신원과 이력을 확인할 것을 권장합니다.

이 회사는 또한 개발자들이 package.json과 같은 파일을 검토하여 새로운 종속성을 평가할 것을 제안했습니다. 이는 Zak Cole도 지지하는 사항입니다. “도움이 되는 것은 종속성을 잠그는 것입니다. 그래야 매번 빌드할 때마다 무작위로 새로운 것을 끌어들이지 않게 됩니다,”라고 그는 말했습니다.

Cole은 또한 이상한 행동이나 의심스러운 유지 관리자를 스캔하는 도구를 사용하고, 갑자기 소유권이 변경되거나 예기치 않게 업데이트되는 패키지를 주의 깊게 살펴볼 것을 권장했습니다. “또한, 빌드하는 데 사용하는 동일한 기계에서 서명 도구나 지갑을 실행하지 마세요,”라고 그는 결론지었습니다. “확인하거나 샌드박스하지 않는 한 아무것도 안전하다고 가정하세요.”