해커, 주 5만 다운로드 인젝티브 SDK에 백도어 심어 개발자 지갑 시드 구문 탈취

해커, 주 5만 다운로드 인젝티브 SDK에 백도어 심어 개발자 지갑 시드 구문 탈취

해커들이 레이어1 디파이 블록체인 **인젝티브(Injective)**의 공식 TypeScript SDK에 지갑 탈취용 악성코드를 심어 배포한 사실이 드러났다. 이 패키지는 주당 평균 5만 회가량 다운로드되는 핵심 개발 도구로, 오염된 버전은 신속한 정리 전에 최소 310회 내려받기 된 것으로 집계됐다.

핵심 내용

  • 인젝티브 주요 TypeScript SDK의 변조 버전이 정상 사용 과정에서 지갑 시드 구문과 개인키를 복제했다.
  • 악성 릴리즌느 18개 패키지에 확산됐고, 310회 다운로드됐으며, 라이브 상태는 1시간이 채 안 됐다.
  • 보안 연구자들은 영향받은 버전을 거친 모든 키를 이미 노출된 것으로 간주해야 한다고 경고했다.

인젝티브 SDK 백도어 공격 구체 내용

보안업체 Socket은 목요일 발표한 공개 자료에서 npm의 @injectivelabs/sdk-ts 패키지 1.20.21 버전이 GitHub 기여자 계정 탈취를 통해 악성 코드로 교체됐다고 밝혔다. 이 SDK는 지갑, 거래소, 트레이딩 봇 등 인젝티브 기반 애플리케이션에서 핵심 구성요소로 사용되는 패키지다.

문제의 코드 조각은 겉으로는 무해한 사용 통계 수집 기능처럼 위장했고, 시드 구문이나 원시(private) 키를 서명용 키로 변환하는 함수들에 후킹(hooking)을 걸었다. 애플리케이션이 해당 함수를 호출할 때마다 비밀값을 몰래 기록해 2초 단위로 묶은 뒤, 인젝티브 인프라로 가장한 서버로 전송했다. 탈취된 정보는 HTTP 요청 헤더에 실려 일반 트래픽과 뒤섞이도록 설계됐다.

자동 배포 파이프라인은 첫 악성 커밋 이후 몇 분 만에 동일한 백도어가 심긴 버전을 연관된 다른 17개 패키지에도 전파했다. 이로 인해 SDK를 직접 설치하지 않은 팀들까지 노출 범위에 포함됐다.

커밋 단위 분석 결과에 따르면, 악성 페이로드는 7월 8일에 라이브로 반영됐고 1시간 이내에 제거됐으며, 이후 정정 버전인 1.20.23이 빠르게 배포됐다. 이 분석은 별도 보고서를 통해 확인됐다.

인젝티브의 에릭 천(Eric Chen) CEO는 이미 문제를 해결했으며 네트워크 상 이용자 자금에는 위험이 없다고 전한 것으로 알려졌다. 다만, 문제의 버전은 npm에서 완전히 삭제되지 않고 폐기(deprecate) 처리에 그쳐 여전히 다운로드가 가능한 상태였다. 공개 시점 기준으로 GitHub에도 오염된 빌드 산출물이 남아 있었다.

함께 읽기: 솔라나 ETF, 비트와이즈 신규 신청으로 무시하기 어려운 변수로 부상

왜 암호화폐 지갑 키가 표적이 됐나

연구자들은 이번 사건을 “인젝티브 지갑 플로우를 다루는 개발자·애플리케이션에 상당한 의미를 갖는 침해”라고 평가하면서도, 실제 자산 탈취 사례가 있었는지는 명시하지 않았다. 다만 영향받은 버전을 한 번이라도 거친 모든 키와 니모닉은 노출된 것으로 간주해야 하며, 자금을 신규 지갑으로 옮기고 환경 내 모든 비밀 정보를 전면 교체하라고 당부했다.

이 같은 공급망 공격은 블록체인 자체의 암호 기술을 직접 노리지는 않는다. 대신 개발자들이 신뢰하는 툴체인을 오염시켜, 단 한 번의 계정 탈취로 수천 개의 하위 애플리케이션에까지 조용히 침투하는 방식을 택한다.

분석에 따르면, 이번에 문제가 된 SDK 하나만 해도 직접 의존하는 npm 패키지가 87개에 달한다는 사실이 추가 보고로 확인됐다.

이번 사건은 오픈소스 암호화폐 개발 생태계를 겨냥한 악재가 잇따르고 있는 흐름의 연장선에 있다. 앞서 3월에는 Axios npm 패키지 일부가 유사한 방식으로 손상됐고, 5월에는 암호화폐·디파이 개발자를 노린 TrapDoor 악성코드 캠페인이 보고됐다. 보안업체 CertiK최근 보고서에서 2026년 상반기 가장 큰 피해를 낳은 공격 벡터로 지갑 침해를 지목하며, 33건 사고에서 총 4억4,400만 달러가 탈취됐다고 집계했다.

다음 기사: 그록 4.5, 더 저렴한 에이전틱 AI로 오픈AI·앤스로픽에 도전

면책 조항 및 위험 경고: 이 기사에서 제공되는 정보는 교육 및 정보 제공 목적으로만 제공되며 저자의 의견을 바탕으로 합니다. 이는 재정, 투자, 법적 또는 세무 조언을 구성하지 않습니다. 암호화폐 자산은 매우 변동성이 크고 높은 위험에 노출되어 있으며, 여기에는 투자금 전부 또는 상당 부분을 잃을 위험이 포함됩니다. 암호화폐 자산의 거래나 보유는 모든 투자자에게 적합하지 않을 수 있습니다. 이 기사에 표현된 견해는 저자(들)의 견해일 뿐이며 Yellow, 창립자 또는 임원의 공식적인 정책이나 입장을 나타내지 않습니다. 투자 결정을 내리기 전에 항상 자신만의 철저한 조사(D.Y.O.R.)를 수행하고 면허를 가진 금융 전문가와 상담하십시오.
관련 뉴스
해커, 주 5만 다운로드 인젝티브 SDK에 백도어 심어 개발자 지갑 시드 구문 탈취 | Yellow.com