해커, 주 5만 건 다운로드되는 인젝티브 SDK에 백도어 심어 개발자 지갑 시드 문구 탈취

해커, 주 5만 건 다운로드되는 인젝티브 SDK에 백도어 심어 개발자 지갑 시드 문구 탈취

해커들이 레이어1 디파이 블록체인 **인젝티브(Injective)**의 공식 타입스크립트 개발 키트에 지갑 탈취 악성코드를 심어 유포한 사실이 확인됐다. 이 SDK는 npm에서 주당 약 5만 건씩 다운로드되는 핵심 패키지로, 악성 릴리스는 정리되기 전까지 310회 내려받기 된 것으로 파악된다.

핵심 내용

  • 인젝티브 메인 타입스크립트 SDK의 변조 버전은 정상적인 사용 과정에서 지갑 시드 문구와 개인키를 복사해 외부로 전송했다.
  • 악성 코드가 심긴 릴리스는 총 18개 패키지로 전파됐으며, 310회 다운로드되고 약 1시간 이내에 교체됐다.
  • 보안 연구진은 해당 버전들을 거친 모든 키를 ‘이미 유출된 것으로 간주하라’고 권고했다.

인젝티브 SDK 백도어, 어떻게 심어졌나

보안업체 Socket은 목요일 블로그를 통해, npm의 @injectivelabs/sdk-ts 패키지 1.20.21 버전이 GitHub의 기여자 계정 탈취를 통해 변조됐다고 공개했다. 이 SDK는 인젝티브 생태계에서 지갑·거래소·트레이딩 봇을 구축하는 데 쓰이는 핵심 빌딩 블록이다.

공격자는 코드를 겉으로는 ‘사용자 분석(analytics)’ 기능처럼 위장했다. 실제로는 시드 문구나 원시(private) 키를 서명용 키로 변환하는 핵심 함수들에 후킹을 걸어, 애플리케이션이 해당 함수를 호출할 때마다 비밀값을 가로챘다. 탈취된 정보는 2초 단위로 묶어 전송됐고, 인젝티브 공식 인프라처럼 보이도록 꾸민 서버로 보내졌다. 데이터는 요청 헤더에 실려 이동해, 일반 트래픽 속에 섞여 탐지 회피를 노렸다.

자동 배포 프로세스도 악용됐다. 첫 악성 커밋이 올라간 뒤 수분 만에 동일한 악성 버전이 관련 17개 패키지로 연쇄 배포돼, 메인 SDK를 직접 설치하지 않은 팀들까지 노출 범위가 넓어졌다.

커밋 단위 분석에 따르면, 악성 페이로드는 7월 8일 라이브에 반영됐고 약 1시간도 안 돼 내려갔다. 이후 깨끗한 1.20.23 버전이 빠르게 배포됐다고 보안업체들은 전했다.

인젝티브 CEO **에릭 첸(Eric Chen)**은 문제는 이미 해결됐고 네트워크 상 사용자 자산에는 위험이 없다고 밝힌 것으로 전해졌다. 다만 문제의 릴리스는 npm에서 완전 삭제가 아닌 ‘deprecated(사용 중단 권고)’ 처리에 그쳐 여전히 다운로드가 가능한 상태다. 공개 시점 기준, 악성 빌드 산출물(artifacts)도 GitHub에 남아 있었다.

관련 기사: 솔라나 ETF, 비트와이즈 신규 신고로 ‘무시하기 어려운 변곡점’에

왜 암호화폐 지갑 키가 표적이 됐나

연구진은 이번 사건을 “인젝티브 지갑 플로우를 처리하는 개발자·애플리케이션에게 중대한 수준의 침해”라고 평가하면서도, 실제 자산 도난 규모는 특정하지 않았다. 대신, 영향을 받은 버전을 한 번이라도 거친 키나 니모닉은 전부 유출된 것으로 보고, 자산을 새 지갑으로 옮기고 환경 내 모든 비밀정보를 교체(rotate)하라고 강하게 경고했다.

이런 유형의 공격은 블록체인 자체의 암호 기술을 직접 건드리지 않는다. 그 대신, 개발자들이 신뢰하는 도구와 공급망을 오염시켜, 탈취된 단 하나의 계정을 ‘배포 채널’로 활용해 수천 개 다운스트림 애플리케이션에 조용히 침투한다.

분석에 따르면, 이번에 문제를 일으킨 SDK 하나만 두고 봐도, 직접 의존(dependency)하는 npm 패키지가 87개에 이른다고 보고됐다.

이번 사건은 오픈소스 크립토 개발 도구를 겨냥한 연이은 공급망 공격의 연장선에 있다. 3월에는 Axios npm 패키지가 비슷한 방식으로 훼손됐고, 5월에는 크립토·디파이 개발자를 노린 TrapDoor 악성 캠페인이 포착됐다. CertiK는 최근 보고서에서 지갑 침해를 2026년 상반기 가장 비용이 큰 공격 벡터로 지목하며, 33건의 사고를 통해 총 4억4,400만 달러가 탈취됐다고 집계했다.

다음 읽을거리: Grok 4.5, 더 저렴한 에이전트형 AI로 OpenAI·Anthropic에 도전

면책 조항 및 위험 경고: 이 기사에서 제공되는 정보는 교육 및 정보 제공 목적으로만 제공되며 저자의 의견을 바탕으로 합니다. 이는 재정, 투자, 법적 또는 세무 조언을 구성하지 않습니다. 암호화폐 자산은 매우 변동성이 크고 높은 위험에 노출되어 있으며, 여기에는 투자금 전부 또는 상당 부분을 잃을 위험이 포함됩니다. 암호화폐 자산의 거래나 보유는 모든 투자자에게 적합하지 않을 수 있습니다. 이 기사에 표현된 견해는 저자(들)의 견해일 뿐이며 Yellow, 창립자 또는 임원의 공식적인 정책이나 입장을 나타내지 않습니다. 투자 결정을 내리기 전에 항상 자신만의 철저한 조사(D.Y.O.R.)를 수행하고 면허를 가진 금융 전문가와 상담하십시오.
관련 뉴스
해커, 주 5만 건 다운로드되는 인젝티브 SDK에 백도어 심어 개발자 지갑 시드 문구 탈취 | Yellow.com