Soclet 연구원들은 이번 주 암호화폐 개발자를 대상으로 한 '트랩도어'로 명명된 공급망 공격을 발견했습니다. 이 악성코드는 npm, PyPI, Crates.io 저장소의 손상된 패키지를 통해 퍼져 암호화폐 지갑 키와 개발자 비밀 정보를 탈취합니다. 일반적인 암호화폐 사기와 달리, 이는 일반 사용자를 피합니다.
트랩도어의 확산 방식
공격자는 겉보기에는 합법적인 소프트웨어 라이브러리에 악성 코드를 주입했습니다. 검증 없이 감염된 패키지를 설치한 개발자는 자동으로 악성코드가 활성화됩니다. 이는 개발자가 매일 사용하는 신뢰할 수 있는 패키지 관리자를 통해 발생했습니다.
탈취 대상
트랩도어 악성코드는 암호화폐 지갑 키와 민감한 개발 자격 증명을 빼갑니다. 이는 프로젝트 재무 지갑과 내부 보안 토큰이 손상될 수 있음을 의미합니다. 개발자는 자금이 사라질 때까지 시스템이 비밀을 유출하고 있다는 사실을 인지하지 못할 수 있습니다.
개발자가 표적이 된 이유
단일 개발자로부터 탈취하는 것이 최종 사용자를 노리는 것보다 더 큰 수익을 얻을 수 있습니다. 손상된 지갑 하나에 프로젝트 자금이 있거나 전체 코드베이스에 대한 접근 권한이 있을 수 있습니다. 이는 무작위 도난이 아닌 정밀한 공격입니다. 공격자는 실제 가치가 어디에 있는지 알고 있습니다.
즉시 시행 중인 조치
Soclet은 저장소 관리자와 협력하여 악성 패키지를 제거하고 있습니다. 개발자는 지금 바로 종속성을 감사해야 합니다. 트랩도어가 합법적인 코드 업데이트에 숨어 있기 때문에 아직 패치가 없습니다. 향후 48시간 동안 팀이 얼마나 빠르게 파이프라인을 정리할 수 있을지가 시험대에 오를 것입니다.
