AI-제작 암호화폐 지갑 드레이너, 보안 도구 우회하여 빠르게 잔액 비움

암호화폐 지갑 배수 스크립트 분석: 어떻게 자금이 몇 초 만에 이동했는가

2023년 7월 31일, 사이버 보안 회사 Safety가 인공지능(AI)으로 설계된 악성 JavaScript 패키지가 암호화폐 지갑에서 자금을 훔치는 데 사용되었다고 발표한 후 암호화폐 투자자들은 경계 태세에 돌입했습니다. NPM(Node Package Manager) 레지스트리에 @kodane/patch-manager라는 무해한 유틸리티로 위장한 이 패키지는 지갑 잔고를 비우도록 설계된 스크립트를 포함하고 있었습니다. Safety의 연구 책임자인 Paul McCarty는 다음과 같이 설명했습니다:

Safety의 악성 패키지 탐지 기술이 AI로 생성된 악성 NPM 패키지를 발견했으며, 이는 정교한 암호화폐 지갑 배수기로, 위협 행위자들이 AI를 활용해 더욱 설득력 있고 위험한 맬웨어를 생성하는 방식을 보여줍니다.

패키지는 설치 후 스크립트를 실행하여 Linux, Windows, macOS 시스템의 숨겨진 디렉토리에 monitor.js, sweeper.js, utils.js로 이름 변경된 파일을 배포했습니다. connection-pool.js라는 백그라운드 스크립트는 지갑 파일을 검색하기 위해 공격 서버(C2 서버)와의 활성 연결을 유지했습니다. 지갑 파일을 탐지하면 transaction-cache.js가 실제 도난을 시작합니다: “암호화폐 지갑 파일이 발견되면, 이 파일이 실제 ‘소거’를 수행하여 지갑에서 자금을 빼갑니다. 지갑에 무엇이 있는지 식별한 후 대부분을 빼갑니다.”

도난당한 자산은 하드코딩된 Remote Procedure Call (RPC) 엔드포인트를 통해 Solana 블록체인의 특정 주소로 전송되었습니다. McCarty는 덧붙였습니다:

배수기는 의심하지 않는 개발자와 그들의 애플리케이션 사용자의 자금을 훔치도록 설계되었습니다.

7월 28일에 게시되고 7월 30일에 제거된 이 맬웨어는 NPM에 의해 악성으로 표시되기 전까지 1,500회 이상 다운로드되었습니다. 밴쿠버에 기반을 둔 Safety는 소프트웨어 공급망 보안에 대한 예방 우선 접근방식으로 유명합니다. AI 기반 시스템은 수백만 개의 오픈 소스 패키지 업데이트를 분석하여 공공 소스보다 4배 더 많은 취약성을 탐지하는 독자적인 데이터베이스를 유지합니다. 이 기업의 도구는 개별 개발자, 포춘 500대 기업 및 정부 기관에서 사용됩니다.