AI로 생성된 암호화폐 악성코드의 위협
AI로 생성된 암호화폐 악성코드가 일반적인 패키지로 위장하여 몇 초 만에 지갑을 비우는 사건이 발생했습니다. 이로 인해 오픈 소스 생태계를 악용하고 블록체인 및 개발자 커뮤니티 전반에 긴급한 우려를 불러일으켰습니다.
악성 JavaScript 패키지의 발견
사이버 보안 회사 Safety가 7월 31일 발표한 바에 따르면, 인공지능(AI)으로 설계된 악성 JavaScript 패키지가 암호화폐 지갑에서 자금을 훔치는 데 사용되었습니다. Node Package Manager(NPM) 레지스트리에서 무해한 유틸리티로 위장한 이 패키지는 지갑 잔액을 비우기 위해 설계된 내장 스크립트를 포함하고 있었습니다.
Safety의 연구 책임자인 Paul McCarty는 “Safety의 악성 패키지 탐지 기술이 정교한 암호화폐 지갑 드레너로 기능하는 AI 생성 악성 NPM 패키지를 발견했으며, 이는 위협 행위자들이 AI를 활용하여 더욱 설득력 있고 위험한 악성코드를 생성하고 있음을 강조합니다.”라고 설명했습니다.
악성코드의 작동 방식
이 패키지는 설치 후 스크립트를 실행하며, Linux, Windows 및 macOS 시스템의 숨겨진 디렉토리에 이름이 변경된 파일인 monitor.js, sweeper.js 및 utils.js를 배포했습니다. 백그라운드 스크립트인 connection-pool.js는 명령 및 제어(C2) 서버와의 활성 연결을 유지하며 감염된 장치에서 지갑 파일을 스캔했습니다.
파일이 발견되면 transaction-cache.js가 실제 도난을 시작했습니다. “암호화폐 지갑 파일이 발견되면, 이 파일은 실제로 자금을 지갑에서 비우는 ‘스위핑’을 수행합니다. 이는 지갑에 무엇이 있는지를 식별한 후 대부분을 비우는 방식으로 이루어집니다.”
도난된 자산은 하드코딩된 원격 프로시저 호출(RPC) 엔드포인트를 통해 Solana 블록체인의 특정 주소로 전송되었습니다. McCarty는 덧붙였습니다. “드레너는 무심코 있는 개발자와 그 애플리케이션 사용자로부터 자금을 훔치도록 설계되었습니다.”
악성코드의 확산과 대응
7월 28일에 게시되어 7월 30일에 제거된 이 악성코드는 NPM이 악성으로 표시하기 전까지 1,500회 이상 다운로드되었습니다. 밴쿠버에 본사를 둔 Safety는 소프트웨어 공급망 보안에 대한 예방 중심 접근 방식으로 알려져 있습니다. 이 회사의 AI 기반 시스템은 수백만 개의 오픈 소스 패키지 업데이트를 분석하며, 공개 소스보다 네 배 더 많은 취약점을 탐지하는 독점 데이터베이스를 유지하고 있습니다. 이 회사의 도구는 개인 개발자, 포춘 500대 기업 및 정부 기관에서 사용됩니다.
