Injective 개발자 패키지의 악의적 업데이트
최근 Injective 개발자 패키지에 악의적인 업데이트가 적용되어 300회 이상 다운로드된 후 개인 키와 시드 문구가 유출되었습니다. 보안 회사 Socket에 따르면, 주간 다운로드 수가 약 50,000인 npm 패키지의 버전 1.20.21이 개발자의 GitHub 계정이 해킹된 후 변경되었습니다.
악성 코드의 확산
의심스러운 커밋은 6월 8일부터 시작되었으며, 악성 릴리스는 이후 Injective Labs npm 범위 아래의 17개 다른 패키지에 걸쳐 확산되었습니다. 보안 회사는 코드가 지갑 키 생성 기능을 가로채고, 개인 키와 복구 문구를 기록한 후, 데이터를 인코딩하여 Injective 서버처럼 보이는 웹 주소로 가짜 텔레메트리를 통해 전송했다고 밝혔습니다.
Socket은 “영향을 받은 패키지를 통해 전달된 모든 키나 기억술은 손상된 것으로 간주해야 한다”고 경고하며, SDK를 직접 설치하지 않은 애플리케이션도 노출되었을 수 있다고 덧붙였습니다.
보안 대응 및 영향
손상된 개발자는 침입을 신속하게 감지했으며, 악성 패키지 버전은 제거되었지만, Socket은 이 캠페인이 아직 완전히 차단되지 않았다고 전했습니다. Injective CEO Eric Chen은 영향을 받은 npm 릴리스가 더 이상 사용되지 않으며 문제가 해결되었다고 밝혔습니다. Chen은 Injective 네트워크의 자금은 위험에 처하지 않았다고 덧붙였으며, Socket은 악성 소프트웨어가 자산 도난으로 이어졌는지 여부를 보고하지 않았습니다.
공격의 성격과 증가하는 위협
이 작전은 블록체인의 암호화나 스마트 계약을 공격하기보다는 개발자들이 지갑, 거래소 및 애플리케이션을 구축하는 데 사용하는 소프트웨어를 목표로 했습니다. 보안 동맹은 2분기 위협 보고서에서 공격자들이 GitHub, npm 및 Google과 같은 플랫폼을 통해 악성 소프트웨어를 배포하는 사례가 증가하고 있다고 밝혔습니다.
일부 사건에서는 해커가 손상된 기계를 사용하여 회사의 GitHub 리포지토리에 악성 코드를 푸시하여 하나의 침해가 추가 배포의 경로가 되었다고 보고했습니다. 이 보고서는 또한 정보 탈취기, 원격 접근 트로이 목마 및 백도어를 결합한 교차 플랫폼 악성 패키지가 증가하고 있으며, macOS를 목표로 하는 캠페인이 증가하고 있다고 언급했습니다.
과거의 유사 사건
Axios npm 릴리스는 3월에 유사한 공급망 공격을 받았으며, 5월에 발견된 TrapDoor 캠페인은 암호화폐, DeFi, 인공지능 및 보안 분야에서 활동하는 개발자들을 겨냥했습니다. GitHub은 또한 5월 20일 직원 기기가 손상된 후 내부 리포지토리에 대한 무단 접근을 공개했습니다.
경제적 영향
CertiK에 따르면, 지갑 손상은 2026년 상반기 가장 비용이 많이 드는 암호화 공격 방법으로, 33건에서 4억 4,400만 달러가 도난당했습니다. DeFi 애플리케이션을 위한 상호 운용 가능한 레이어 1인 Injective는 2024년 중반 7,100만 달러의 정점에서 8.2백만 달러로 총 잠금 가치가 88% 감소했습니다. 올해 초, 커뮤니티 구성원들은 기존 토큰 소각을 유지하면서 새로운 INJ 발행 감소를 가속화하는 IIP-617을 승인했습니다.