북한의 라자루스 해커들이 가짜 패키지로 npm에 침투하여 개발자와 암호화폐 사용자를 해킹합니다.

악성 npm 패키지와 연결된 라자루스 해킹 그룹

악명 높은 라자루스 해킹 그룹과 관련된 새로운 사이버 공격이 등장했으며, 의심하지 않는 개발자를 표적으로 삼아 6개의 악성 npm 패키지가 사용되고 있습니다.

소켓 연구팀이 발견한 이 패키지는 자격 증명과 암호화폐 데이터를 포함한 민감한 정보를 훔치도록 설계되었습니다.

이 악성 코드는 이미 330회 이상 다운로드되어 위협의 심각성을 잘 보여주고 있습니다.

악성 npm 패키지 증가 추세

공격에서 확인된 6개의 패키지는 합법적인 패키지와 매우 유사하며, 개발자를 속여 설치하도록 유도하는 타이포스쿼팅 전술을 사용했습니다.

'is-buffer-validator'와 'auth-validator'를 포함한 이러한 패키지는 시스템에 침투하여 로그인 자격 증명, 암호화폐 지갑 정보, 브라우저 데이터와 같은 중요한 데이터를 훔치도록 설계되었습니다.

또한 이러한 패키지에 의해 배포된 멀웨어에는 원격 액세스를 위한 백도어도 포함되어 있어 영향을 받는 시스템에 장기적인 취약성을 야기합니다.

영향을 받은 npm 패키지는 일반적인 유틸리티를 검색하는 개발자에게 합법적으로 보일 수 있도록 이름이 지정되었습니다.

패키지가 포함되어 있습니다:

• IS-버퍼-검증자 : 자격 증명을 훔치는 데 사용되는 인기 있는 'is-buffer' 라이브러리의 악성 버전입니다.
• yoojae-validator: 민감한 데이터를 수집하도록 설계된 가짜 유효성 검사 라이브러리입니다.
• 이벤트 핸들 패키지: 이벤트 핸들러로 위장하지만 실제로는 백도어를 배포합니다.
• 배열-비어있는-검증기: 브라우저 및 시스템 자격 증명을 훔치기 위한 사기성 패키지입니다.
• 반응-이벤트-종속성: React 유틸리티로 위장하여 멀웨어를 실행하여 시스템을 손상시킵니다.
• 인증 유효성 검사기: 인증 도구를 모방한 이 패키지는 로그인 데이터를 훔치도록 설계되었습니다.

개발자 및 암호화폐 사용자 타겟팅

이 공격은 개발자를 겨냥한 것이지만 암호화폐 사용자에게도 상당한 위험을 초래할 수 있습니다.

이 멀웨어는 Chrome, Brave 및 Firefox의 브라우저 프로필을 대상으로 저장된 로그인 정보, 쿠키 및 기록을 찾습니다.

macOS에서는 키체인 데이터를 추출하려고 시도합니다.

또한 이 패키지는 암호화폐 지갑 데이터를 수집하도록 프로그래밍되어 있으며, 특히 솔라나 지갑과 엑소더스 지갑을 대상으로 합니다.

에 따르면소켓 보고서 이 멀웨어는 시스템 디렉토리를 체계적으로 검색하여 Solana 지갑에서 <로그인 데이터> 및 과 같은 파일을 추출하는 동시에 탐지되지 않은 채 실행됩니다.

보고서에서 설명합니다,

"이 코드는 호스트 이름, 운영 체제 및 시스템 디렉터리를 포함한 시스템 환경 세부 정보를 수집하도록 설계되었습니다."

유해한 소프트웨어의 다운로드를 가능하게 하는 코드. (출처: Socket)

라자루스 그룹의 시그니처 전술

이번 공격이 라자루스의 소행이라고 단정하기는 어렵지만, 이 단체가 유사한 작전을 수행한 전력이 있다는 점에서 경각심을 불러일으킵니다.

라자루스는 오랫동안 악성 코드를 퍼뜨리기 위해 npm, GitHub, PyPI와 같은 소프트웨어 레지스트리를 노리는 것으로 알려져 있습니다.

이전 캠페인은 바이비트 거래소와 관련된 15억 달러 규모의 대규모 암호화폐 강탈 사건 등 유명 공격과 연관된 바 있습니다.

이번 유출 사건과 관련이 있지는 않지만, 암호화폐 분야에서 이 그룹의 지속적인 활동은 특히 우려스러운 부분입니다.

이 최신 공격의 배후에 있는 위협 행위자는 6개 패키지 중 5개 패키지의 GitHub 리포지토리를 만들고 유지 관리하여 개발자에게 합법적인 것처럼 보이게 했습니다.

이 전략은 패키지가 합법적인 코드베이스에 통합될 가능성을 높여 탐지를 더욱 어렵게 만듭니다.

지속적인 노력의 일환으로, 소켓 팀은 악성 리포지토리와 사용자 계정을 신고하여 npm과 GitHub에서 삭제하도록 청원했습니다.

그러나 보고 시점에 패키지는 활성 상태로 유지됩니다.

계속되는 나사로의 위협

종종 북한과 연계된 라자루스 그룹은 정교한 사이버 캠페인으로 악명이 높으며, 전 세계 암호화폐 업계를 노리는 경우가 많습니다.

이러한 유명 침해 사고에도 불구하고 라자루스는 장기간 탐지되지 않고 활동할 수 있기 때문에 지속적인 위협으로 남아 있습니다.

소켓 시큐리티의 위협 인텔리전스 분석가인 키릴 보이첸코는 이렇게 말합니다,

"APT 그룹은 5개의 악성 패키지에 대한 GitHub 리포지토리를 만들고 유지 관리하여 오픈 소스처럼 보이게 했습니다. 이로 인해 유해한 코드가 개발자 워크플로우에 통합될 가능성이 높아졌습니다."

이러한 발견에 따라 개발자는 타사 패키지를 사용할 때 주의를 기울이고 프로젝트에 통합하기 전에 코드를 신중하게 검토하여 잠재적인 위협을 식별할 것을 당부합니다.