지갑

해커들이 새로운 공격 방법으로 이더리움 스마트 계약을 사용하여 멀웨어 명령을 숨기는 방법 사용

3시간 전
해커들이 새로운 공격 방법으로 이더리움 스마트 계약을 사용하여 멀웨어 명령을 숨기는 방법 사용

사이버범죄자들이 이더리움 스마트 계약을 사용하여 멀웨어 명령을 숨기기 시작했으며, 이는 공격자가 블록체인 기술을 악용하여 탐지 시스템을 우회하기 위한 새로운 도전을 만들고 있습니다. 디지털 자산 규정 준수 회사 ReversingLabs는 7월에 Node Package Manager 저장소에 업로드된 두 개의 악의적인 패키지를 분석한 후 이 기술을 발견했습니다.

이 방법은 해커들이 합법적인 블록체인 트래픽과 그들의 활동을 혼합할 수 있게 하여 악의적인 작업이 식별되고 차단되기 훨씬 더 어렵게 만듭니다.


알아야 할 사항:

  • NPM 패키지 두 개인 "colortoolsv2"와 "mimelib2"은 두 번째 단계의 멀웨어를 설치하기 전 악의적인 서버 주소를 가져오기 위해 이더리움 스마트 계약을 사용했습니다.
  • 2024년에 공개 소스 저장소 전반에 걸쳐 23건의 암호화 관련 악의적인 캠페인이 기록되었습니다.
  • 북한과 연계된 Lazarus Group은 이전에 유사한 블록체인 기반의 멀웨어 배포 방법을 사용한 적이 있습니다.

블록체인 인프라를 악용한 새로운 배포 방법

ReversingLabs가 확인한 패키지들은 합법적으로 보였으나 이더리움 스마트 계약에서 명령을 가져오는 숨겨진 기능이 포함되어 있었습니다. 악성 링크를 직접 호스팅하지 않고, 소프트웨어는 명령 및 제어 서버의 주소를 검색하는 다운로드 역할을 했습니다.

ReversingLabs의 연구원 루시야 발렌틱은 이더리움 계약에서 악의적인 URL을 호스팅하는 것이 전례 없는 접근이라고 언급했습니다. 발렌틱은 이 개발을 공격자가 보안 스캔 시스템을 우회하는 급속한 발전으로 설명하며 "이것은 우리가 이전에 보지 못했던 것입니다."라고 말했습니다.

이 기술은 보안 소프트웨어에 블록체인 트래픽이 종종 합법적으로 보이는 점을 악용합니다. 전통적인 탐지 방법은 정상적인 스마트 계약 운영과 악의적인 목적에 사용된 운영을 구분하는 데 어려움을 겪고 있습니다.

주요 공격 벡터로 작용하는 가짜 거래 봇

악의적인 패키지는 GitHub 저장소를 통해 수행된 광범위한 사기 캠페인의 일부를 형성했습니다. 공격자들은 개발자를 끌어들이기 위해 만들어진 커밋 기록, 여러 가짜 관리자 계정, 그리고 전문가 수준의 문서와 함께 완전한 가짜 암호화 폐거래 봇 프로젝트를 구축했습니다.

이러한 저장소는 신뢰할 수 있는 것처럼 제작되었지만 멀웨어 설치의 전달 메커니즘으로 작용했습니다. 가짜 프로젝트의 세련됨은 사이버 범죄자들이 공격을 시작하기 전에 신뢰를 쌓기 위해 갈 lengths를 잘 보여줍니다.

블록체인 기반의 명령 저장과 사회 공학의 이 조합은 공격 복잡도의 중요한 에스컬레이션으로 보안 분석가들 사이에서 탐지되고 있습니다. 이 접근법은 사이버 보안 팀이 이제 전통적인 공격 벡터와 블록체인 기반의 통신을 모두 모니터링해야 함에 따라 탐지를 상당히 더 어렵게 만듭니다.

Node Package Manager를 겨냥한 캠페인은 오픈 소스 개발 커뮤니티에 영향을 미치는 더 큰 트렌드의 한 측면에 불과합니다. 공격자들은 이러한 환경을 특별히 타겟팅하고 있으며, 이는 개발자들이 종종 철저한 보안 검토 없이 패키지를 설치하기 때문입니다.

이전의 블록체인 기반 공격은 암호화폐 프로젝트를 표적으로 삼습니다

이더리움은 멀웨어 배포 목적으로 악용되고 있는 유일한 블록체인 네트워크가 아닙니다. 올해 초 북한과 연결된 Lazarus Group은 이더리움 계약을 사용한 멀웨어를 배포했지만, 그들의 특정 구현은 최근의 NPM 공격과는 달랐습니다.

4월에, 공격자들은 Solana 거래 봇 프로젝트를 사칭한 가짜 GitHub 저장소를 만들었습니다.

가짜 저장소는 피해자로부터 암호화폐 지갑 자격 증명을 훔치기 위해 고안된 멀웨어를 배포하는 데 사용되었습니다.

또 다른 문서화된 사례는 비트코인 개발 작업을 위해 의도된 Python 라이브러리인 "Bitcoinlib"을 포함했습니다. 해커들은 이러한 합법적인 개발 도구를 유사한 자격 증명 도난 목적을 위해 타겟으로 삼았습니다.

이 패턴은 사이버 범죄자들이 일관되게 암호화폐 관련 개발 도구와 오픈 소스 저장소를 대상으로 하고 있음을 보여줍니다. 이러한 환경은 개발자들이 새롭고 낯선 코드 라이브러리와 도구를 자주 사용하기 때문에 공격에 이상적인 조건을 제공합니다.

블록체인 및 스마트 계약 기술 이해하기

스마트 계약은 이더리움과 같은 블록체인 네트워크에서 실행되는 자동 실행 프로그램입니다. 인간의 개입이나 전통적인 중개자의 감독 없이 사전 조건을 자동으로 실행합니다.

이러한 계약은 블록체인에 데이터를 영구적으로 저장하여 전 세계 어디에서나 접근할 수 있게 합니다. 블록체인 네트워크의 분산된 특성은 악성 콘텐츠가 배포되면 제거하기가 매우 어렵습니다.

명령 및 제어 서버는 사이버 범죄자들이 감염된 장치와 통신하는 데 사용하는 컴퓨터 시스템입니다. 공격자들은 블록체인 네트워크에 서버 주소를 저장하여 보안 팀이 방해하거나 모니터링하기 더 어려운 통신 채널을 만듭니다.

마무리

이더리움 스마트 계약에 숨겨진 멀웨어 명령의 발견은 사이버 범죄자들이 탐지 시스템을 피하기 위해 블록체인 기술을 점점 더 악용하고 있다는 점에서 사이버 범죄 전술의 중요한 진화를 나타냅니다. 발렌틱은 사이버 범죄자들이 보안 방어를 우회하기 위한 새로운 방법을 지속적으로 모색하고 있으며, 블록체인 기반의 명령 저장이 사이버 보안 조치를 앞서기 위한 그들의 최신 혁신을 나타낸다고 강조했습니다.

면책 조항: 본 기사에서 제공되는 정보는 교육 목적으로만 제공되며 금융 또는 법률 조언으로 간주되어서는 안 됩니다. 암호화폐 자산을 다룰 때는 항상 자체 조사를 수행하거나 전문가와 상담하십시오.
관련 뉴스
관련 연구 기사
관련 학습 기사