이더리움 스마트 계약을 겨냥한 새로운 악성코드
최근 해커들이 이더리움 스마트 계약 내부에 악성 소프트웨어, 명령어 및 링크를 숨기는 새로운 방법을 발견하여 보안 스캔을 회피하고 있습니다. 디지털 자산 컴플라이언스 회사인 ReversingLabs의 사이버 보안 연구원들은 자바스크립트 패키지와 라이브러리의 대규모 컬렉션인 Node Package Manager(NPM) 패키지 저장소에서 새로운 오픈 소스 악성코드 조각을 발견했습니다.
ReversingLabs의 연구원인 Lucija Valentić는 수요일 블로그 게시물에서 “이 악성코드 패키지는 손상된 장치에 악성코드를 로드하기 위한 새로운 창의적인 기술을 사용합니다 – 이더리움 블록체인에 대한 스마트 계약입니다”라고 밝혔습니다.
7월에 발표된 두 개의 패키지인 “colortoolsv2”와 “mimelib2”는 “스마트 계약을 악용하여 손상된 시스템에 다운로드 악성코드를 설치하는 악성 명령어를 숨겼습니다”라고 Valentić는 설명했습니다. 보안 스캔을 피하기 위해 이 패키지는 단순한 다운로드 프로그램으로 작동하며, 악성 링크를 직접 호스팅하는 대신 스마트 계약에서 명령 및 제어 서버 주소를 검색합니다.
설치되면 이 패키지는 블록체인에 질의하여 두 번째 단계의 악성코드를 다운로드하기 위한 URL을 가져오며, 이는 페이로드나 행동을 포함하고 있어 블록체인 트래픽이 합법적으로 보이기 때문에 탐지를 더욱 어렵게 만듭니다.
악성코드의 진화
이더리움 스마트 계약을 겨냥한 악성코드는 새로운 것이 아닙니다. 올해 초 북한과 연관된 해킹 집단인 Lazarus Group에 의해 사용되었습니다. Valentić는 “새롭고 다른 점은 이더리움 스마트 계약을 사용하여 악성 명령어가 위치한 URL을 호스팅하고 두 번째 단계의 악성코드를 다운로드하는 것입니다”라고 말하며, “이런 것은 이전에 본 적이 없으며, 오픈 소스 저장소와 개발자를 대상으로 하는 악성 행위자들의 탐지 회피 전략의 빠른 진화를 강조합니다”라고 덧붙였습니다.
이 악성코드 패키지는 주로 GitHub를 통해 운영되는 더 크고 정교한 사회 공학 및 속임수 캠페인의 일환으로 나타났습니다. 위협 행위자들은 조작된 커밋, 특정하게 저장소를 감시하기 위해 생성된 가짜 사용자 계정, 활발한 개발을 시뮬레이션하기 위한 여러 유지 관리 계정, 전문적인 프로젝트 설명 및 문서를 통해 매우 신뢰할 수 있는 것처럼 보이도록 설계된 가짜 암호화폐 거래 봇 저장소를 만들었습니다.
결론 및 향후 전망
2024년, 보안 연구원들은 오픈 소스 저장소에서 23개의 암호화폐 관련 악성 캠페인을 문서화했지만, 이번 최신 공격 벡터는 “저장소에 대한 공격이 진화하고 있음을 보여줍니다”라고 Valentić는 결론지었습니다. 이러한 공격은 이더리움에서만 실행되지 않으며, 4월에는 솔라나 거래 봇을 가장한 가짜 GitHub 저장소가 암호화폐 지갑 자격 증명을 훔치는 숨겨진 악성코드를 배포하는 데 사용되었습니다. 해커들은 또한 비트코인 개발을 쉽게 하기 위해 설계된 오픈 소스 파이썬 라이브러리인 “Bitcoinlib”를 겨냥했습니다.
