ReversingLabs의 사이버 보안 연구자들은 약 6,000명의 개발자가 사용하는 오픈 소스 Ethereum 개발 도구인 ETHCode의 업데이트에 두 줄의 악성 코드가 삽입된 것을 발견했습니다. 이 악성 코드는 인공지능 보안 검토와 인적 감시를 성공적으로 우회하여 개발자 시스템에 배포되었습니다.
알아야 할 것:
- 이전에 GitHub 기록이 없는 해커가 4,000개의 업데이트 줄이 포함된 43번 커밋 풀 리퀘스트를 통해 ETHCode에 악성 소프트웨어를 삽입
- 악성 코드는 암호 화폐 자산을 훔치거나 스마트 계약을 손상시킬 수 있는 스크립트를 다운로드하고 실행하도록 설계
- GitHub의 AI 검토자와 개발팀 모두 정교한 공격을 탐지하지 못해 오픈 소스 보안 관행에 대한 우려 제기
조사에서 공격 세부 사항이 표면화
악성 풀 리퀘스트는 이전에 플랫폼에 기여한 기록이 없는 사용자 Airez299에 의해 6월 17일 제출되었습니다. ReversingLabs 연구원들은 공격자가 기존 파일과 유사한 이름을 부여하고 실제 코드 구조를 난독화하여 악성 코드를 성공적으로 숨겼다고 발견했습니다.
첫 번째 악성 코드 줄은 정당한 파일과 원활하게 섞이도록 설계되었습니다. 두 번째 줄은 공개 파일 호스팅 서비스에서 배치 스크립트를 다운로드하고 실행하도록 설계된 PowerShell 함수를 생성하는 활성화 메커니즘 역할을 했습니다.
GitHub의 자동 AI 검토자와 ETHCode를 유지 관리하는 그룹인 7finney의 구성원들은 대규모 코드 업데이트를 분석했습니다. 리뷰 과정에서 소소한 변경만 요청되었으며, 인간 리뷰어와 자동화 시스템 모두 삽입된 악성 소프트웨어를 의심스러운 것으로 표시하지 않았습니다.
잠재적 영향이 수천 개의 시스템에 도달
ETHCode는 이더리움 가상 머신과 호환 가능한 스마트 계약을 구축하고 배포할 수 있는 종합 도구 세트를 제공합니다. 손상된 업데이트는 표준 업데이트 메커니즘을 통해 사용자 시스템에 자동 배포되었을 것입니다.
ReversingLabs 연구원 Petar Kirhmajer는 Decrypt에 악성 코드가 실제로 실행되어 토큰이나 데이터를 훔친 증거는 찾지 못했다고 말했습니다. 그러나 도구의 사용자 기반을 고려할 때 공격의 잠재적 범위는 상당합니다.
"풀 리퀘스트는 수천 개의 개발자 시스템으로 확산되었을 수 있습니다"라고 Kirhmajer는 연구 블로그에 썼습니다. ReversingLabs는 다운로드된 스크립트의 정확한 기능을 조사하면서 피해자의 기기에 저장된 암호 자산을 훔치거나, 대안으로 사용자들이 개발하는 이더리움 계약을 손상시키려는 의도로 설계되었음을 가정합니다.
이 공격은 오픈 소스 개발 프로세스에 내재된 신뢰를 활용한 정교한 공급망 손상을 나타냅니다.
산업 전문가들이 광범위한 취약성에 대해 경고
이더리움 개발자이자 NUMBER GROUP 공동 창립자인 Zak Cole은 이 유형의 공격이 암호화폐 개발 생태계가 직면한 광범위한 보안 문제를 반영한다고 강조했습니다. 많은 개발자들이 철저한 보안 검토 없이 오픈 소스 패키지를 설치합니다.
"누구든지 악성 코드를 쉽게 삽입할 수 있습니다,"라고 Cole은 Decrypt에 말했습니다. "npm 패키지, 브라우저 확장 프로그램 등 무엇이든 될 수 있습니다."
암호화폐 산업이 오픈 소스 개발에 강하게 의존함에 따라 악의적인 행위자들에게 확장된 공격 표면이 만들어집니다. Cole은 2023년 12월에 있었던 Ledger Connect Kit의 익스플로잇과 Solana의 web3.js 라이브러리에 발견된 악성 소프트웨어를 포함하는 최근의 유명한 사건들을 언급했습니다.
"코드가 너무 많고 보는 눈이 부족합니다,"라고 Cole은 덧붙였습니다. "대부분의 사람들은 인기 있거나 오래되었다는 이유로 안전하다고 가정하지만, 그것은 아무 의미가 없습니다."
Cole은 오픈 소스 도구를 채택하는 개발자가 늘어나면서 다룰 수 있는 공격 표면이 계속 확장되고 있다고 지적했습니다. 그는 또한 이러한 공격에 대한 국가 지원 행위자의 개입을 강조했습니다.
"또한 DPRK 요원들이 이런 익스플로잇을 수행하는 데 풀타임으로 일하는 전체 창고가 있다는 점을 기억하세요,"라고 Cole은 말했습니다.
개발자를 위한 보안 권장 사항
공격이 정교한 성격에도 불구하고, 보안 전문가들은 성공적인 손상 사례가 상대적으로 드물다고 믿습니다. Kirhmajer는 그의 연구 경험을 바탕으로 "성공적인 시도는 매우 드물다"고 추정했습니다.
ReversingLabs는 개발자들이 업데이트를 다운로드하거나 구현하기 전에 코드 기여자의 신원과 기여 기록을 확인할 것을 권장합니다. 이 회사는 또한 package.json 파일 및 유사한 종속 선언을 검토하여 새로운 코드 관계를 평가할 것을 제안합니다.
Cole은 테스트되지 않은 코드 업데이트의 자동 포함을 방지하기 위한 종속 잠금을 포함한 추가 보안 조치를 옹호했습니다. 그는 의심스러운 행동 패턴이나 의심스러운 유지 관리자 프로필을 식별할 수 있는 자동 스캔 도구 사용을 추천했습니다.
개발자들은 갑자기 소유권이 바뀌거나 예상치 못한 업데이트가 릴리스되는 패키지를 감시해야 합니다. Cole은 다양한 개발 활동을 위한 별도의 환경을 유지하는 것의 중요성을 강조했습니다.
"또한 서명 도구나 지갑을 구축용 장비와 같은 기기에서 실행하지 마세요,"라고 Cole은 결론지었습니다. "검증하지 않거나 샌드박스 처리하지 않으면 안전하다고 가정하지 마세요."
마무리 생각
이 사건은 정교한 공격자가 신뢰 메커니즘을 이용하여 수천 개의 개발자 시스템에 악성 소프트웨어를 배포할 수 있는 오픈 소스 암호화폐 개발이 직면한 지속적인 보안 문제를 강조합니다. 악성 코드가 성공적으로 실행되었다는 증거는 없지만, 이 공격은 암호화폐 개발 생태계 내에서 향상된 보안 관행과 검증 프로세스의 필요성을 보여줍니다.