해커, npm 패키지 내 이더리움 스마트 계약 통해 악성코드 은폐

해커들이 npm 패키지 내 악성 코드를 숨기기 위해 이더리움 스마트 계약을 사용하고 있어, 탐지 및 제거의 어려움이 가중되고 있습니다.

요약

공격자들은 이더리움 스마트 계약을 활용하여 npm 패키지 내에 악성 코드를 숨기고 있으며, 이는 탐지 및 제거의 복잡성을 증가시키는 전술입니다. 2025년 7월 ReversingLabs에 의해 밝혀진 이 캠페인은 암호화폐 및 핀테크 부문을 대상으로 하는 소프트웨어 공급망 공격의 진화하는 정교함을 보여줍니다.

상세 사건

2025년 7월, ReversingLabs 연구원들은 npm 패키지 저장소에서 colortoolsv2와 mimelib2라는 두 가지 악성 패키지를 발견했습니다. 이 패키지들은 이더리움 스마트 계약을 사용하여 손상된 시스템에 다운로더 악성 코드를 설치하는 악성 명령을 숨겼습니다. 악성 코드는 의심스러운 URL을 직접 삽입하는 대신, 이더리움 스마트 계약에 쿼리하여 명령 및 제어(C2) 서버 주소를 얻었는데, 이 기술을 "EtherHiding"이라고 합니다. 예를 들어, colortoolsv2 패키지는 index.js 스크립트에 난독화된 악성 페이로드를 포함하고 있었으며, 이는 악성 명령을 가져와 실행했습니다. 이 패키지들은 npm 유지보수 담당자에게 보고되었고, 이후 제거되었습니다.

시장 영향

이 새로운 공격 벡터는 오픈 소스 저장소의 보안과 광범위한 침해 가능성에 대한 우려를 제기합니다. ReversingLabs 연구원 Lucija Valentić이 언급했듯이, >“새롭고 다른 점은 악성 명령이 위치한 URL을 호스팅하고 2단계 악성 코드를 다운로드하기 위해 이더리움 스마트 계약을 사용한다는 것입니다. 우리는 이전에 이런 것을 본 적이 없으며, 이는 오픈 소스 저장소와 개발자를 대상으로 하는 악의적인 행위자들의 회피 전략이 빠르게 진화하고 있음을 보여줍니다.”

이 사건은 npm 패키지 및 스마트 계약 보안에 대한 정밀 조사를 증가시키고, 잠재적으로 새로운 보안 프로토콜 및 감사 관행의 채택을 촉진할 수 있습니다.

광범위한 맥락

이 공격은 위협 행위자들이 GitHub에서 암호화폐 거래 봇으로 위장한 가짜 저장소를 만든 광범위한 캠페인의 일부입니다. solana-trading-bot-v2와 같은 이 저장소들은 개발자를 속이기 위해 수천 개의 가짜 커밋과 부풀려진 별점 평가를 특징으로 했습니다. 사이버 보안 회사인 카스퍼스키도 GitHub에서 유사한 캠페인을 경고했는데, 해커들이 원격 액세스 트로이 목마(RAT) 및 정보 탈취자를 포함하는 사기성 프로젝트를 만들어 암호화폐 및 로그인 자격 증명을 훔치도록 설계했습니다. 2024년에 Web3 보안 사고로 23억 달러 이상의 암호화폐 손실이 발생했으며, 이는 이러한 유형의 공격에 대한 재정적 동기가 증가하고 있음을 보여줍니다. 이 사건은 수동적인 감사에만 의존하는 것이 아니라 전체 개발 수명 주기 전반에 걸쳐 지속적인 보안 유효성 검사 및 사전 예방적 보안 조치의 필요성을 강조합니다.