Node.js 개발자에 대한 피싱 공격으로 npm 패키지에 악성 코드가 삽입되어 이더리움 및 솔라나 지갑을 표적으로 삼았으며, 주간 20억 회 이상의 다운로드에 영향을 미쳤습니다.

요약

공격자들이 피싱 공격을 통해 널리 사용되는 npm 패키지를 손상시키고, 암호화폐 탈취를 목적으로 하는 악성 코드를 주입했습니다. 2025년 9월 8일에 발견된 이 공격은 거래를 가로채고 리디렉션하여 이더리움솔라나 지갑을 표적으로 삼았습니다. 공격자의 즉각적인 금전적 이득은 미미했지만, 이 사건은 소프트웨어 공급망의 심각한 취약점을 드러냈고 Web3 생태계의 보안에 대한 우려를 불러일으켰습니다.

상세 사건 경위

존경받는 오픈소스 개발자 Josh Junon (일명 qix)은 npmjs.help을 사칭한 피싱 이메일을 통해 계정을 탈취당했습니다. 공격자는 Junon의 npm 계정을 장악하고 chalk, debug, ansi-styles와 같은 인기 라이브러리를 포함한 18개 패키지에 악성 코드를 주입했으며, 이는 주간 20억 회 이상의 다운로드에 영향을 미쳤습니다. 악성 코드는 암호화폐 거래를 표적으로 삼았으며, 특히 네트워크 트래픽에서 이더리움, 솔라나, 비트코인, 트론, 라이트코인, 비트코인 캐시 지갑 주소를 모니터링했습니다. 이 코드는 거래 대상을 재작성하여 합법적인 주소를 공격자가 제어하는 주소로 대체하고, 서명되지 않은 거래를 변경하여 사용자가 서명하기 전에 수신자와 금액을 수정합니다.

시장 영향

이 공격은 Web3 생태계가 공급망 침해에 취약하다는 점을 강조합니다. 바이낸스는 사용자 데이터나 자산이 손상되지 않았다고 밝혔음에도 불구하고, 이 사건은 오픈소스 소프트웨어의 보안과 암호화폐 사용자를 대상으로 하는 대규모 공격 가능성에 대한 광범위한 우려를 제기합니다. 이 사건은 소프트웨어 의존성에 대한 엄격한 조사와 Node.js 생태계 내에서 더 엄격한 보안 조치를 추진하는 계기가 될 수 있습니다. 보안 팀은 시스템 업데이트에 상당한 비용을 부담해야 합니다.

전문가 의견

"요즘은 오픈소스 소프트웨어조차 안전하지 않습니다. Web3는 Web2의 보안을 재정의할 것입니다."라고 바이낸스 공동 설립자 **창펑 자오(CZ)**가 소셜 플랫폼 X에서 언급했습니다.

하드웨어 지갑 제조업체 레저의 최고 기술 책임자 찰스 길레메는 악성 코드가 10억 회 이상 다운로드된 패키지에 전파되었다고 언급했습니다.

광범위한 배경

이 공격은 소프트웨어 공급망 내에서 강력한 보안 조치의 중요성을 강조합니다. 유사한 공격을 완화하기 위한 권장 사항은 다음과 같습니다: npm 종속성을 정기적으로 감사하고, package-lock.json을 사용하여 일관된 종속성 버전을 보장하고, 패키지 게시자를 확인하며, 예기치 않은 패키지 업데이트를 모니터링합니다. 이 사건은 정교한 피싱 캠페인과 공급망 공격을 통해 암호화폐 인프라를 표적으로 삼는 사이버 범죄자들의 증가하는 추세를 반영합니다. 보안 연구원들이 지적했듯이, 2025년의 거의 모든 주요 공격은 암호화폐 인프라를 표적으로 삼았으며, 피싱 캠페인이 제로데이 익스플로잇보다 더 효과적인 것으로 입증되었습니다.