트랩도어 악성코드: 암호화폐 개발자를 겨냥한 대규모 공급망 공격

공급망 공격 수법 '트랩도어', 최대 성과를 위해 개발자를 표적으로 삼다

일부 악성코드 캠페인은 일반 암호화폐 사용자를 표적으로 삼는 반면, 다른 캠페인은 개발자에 집중하여 대량의 암호화폐를 보유할 가능성이 높고 더 광범위한 자원에 접근할 수 있는 대상을 노립니다.

공급망 공격 방지에 특화된 기업인 소켓(Socket)의 연구진은 npm, PyPI, Crates.io 전반에 걸쳐 감염된 패키지를 사용하여 암호화폐 개발자를 노리는 광범위한 캠페인을 확인했습니다.

'트랩도어(Trapdoor)'로 명명된 이 공급망 공격은 해당 개발 환경에 걸쳐 34개 패키지에 퍼져 있으며, 384개 이상의 버전을 포함하고 있고 일부는 여전히 이용 가능한 상태입니다. 소켓은 영향을 받은 패키지들이 5월 22일부터 단계적으로 공개된 후 그 다음 주말 동안 업데이트되었다고 보고했습니다.

이 패키지들은 일반적인 개발자 도구로 위장한 채 서로 다른 레지스트리에 연이어 등장했다는 점에서 특히 눈에 띄었습니다. 소켓은 이를 통해 이 캠페인이 "암호화폐 지갑, 클라우드 인증 정보, GitHub 토큰, SSH 키 등이 존재할 가능성이 높은 인접 개발자 커뮤니티 전반에 광범위하게 확산될 수 있다"고 평가했습니다.

감염된 패키지는 이러한 오픈소스 도구로 위장하여 암호화폐 개발자의 개발 환경에 침투한 뒤, 비밀 정보, 암호화폐 지갑, SSH(Secure Shell) 키 및 기타 관련 데이터를 탈취합니다.

트랩도어(Trapdoor) 감염 패키지는 또한 AI 도구를 공격에 활용하려 시도하는데, 지시 파일을 사용하여 AI 코딩 도구를 속여 보안 스캔을 실행하게 하고 극도로 민감한 데이터를 유출합니다.

소켓은 이 기법이 모든 AI 도구와 모델에서 일관되게 작동하지는 않지만, 이러한 시도가 존재한다는 사실은 공격자들이 "공급망 악성코드 캠페인의 일환으로 AI 개발 환경을 적극적으로 실험하고 있다"는 것을 보여준다고 밝혔다.

연쇄 공격이 점점 더 흔해지고 있습니다. 지난 9월, 암호화폐 커뮤니티는 유사한 해킹 사건에 대해 경고를 받았는데, 암호화폐 지갑에서 사용되는 여러 패키지가 침해 및 변조되어 비트코인, 이더리움, 솔라나 등 다양한 디지털 자산이 포함된 지갑에서 암호화폐 자금을 탈취당했습니다.