암호화폐 하드웨어 지갑 제조업체 원장 "@ledgerhq/connect-kit" npm 모듈에 악성 코드가 포함된 새 버전이 공개되어 60만 달러 이상의 가상 자산이 도난당했습니다.
회사는 성명에서 이 취약점은 퇴사한 직원의 피싱 공격에서 비롯되었으며, 이로 인해 공격자가 Ledger의 npm 계정에 접근하여 세 가지 악성 버전(1.1.5, 1.1.6 및 1.1.7)을 업로드할 수 있게 되었다고 밝혔습니다. 이러한 악성 버전은 암호화폐를 훔칩니다.악성 소프트웨어이 모듈을 사용하는 다른 애플리케이션으로 확산되어 소프트웨어 공급망 취약성을 유발합니다.
Ledger는 "악성 코드는 가짜 WalletConnect 프로젝트를 악용하여 자금을 이체했습니다.해커지갑. "
Connect Kit는 이름에서 알 수 있듯이 분산형 애플리케이션(DApp)을 Ledger의 하드웨어 지갑에 연결할 수 있습니다.
보안 회사인 Sonatype은 버전 1.1.7에 무단 거래를 수행하고 디지털 자산을 공격자가 제어하는 지갑으로 전송하는 데 사용되는 지갑 훔치기 페이로드가 직접 내장되어 있다고 밝혔습니다.
버전 1.1.5 및 1.1.6에는 스틸러가 내장되어 있지 않지만 암호화폐 스틸러 역할도 하는 2e6d5f64604be31이라는 보조 npm 패키지를 다운로드하도록 수정되었습니다. 보도 시점 현재 모듈을 계속 다운로드할 수 있습니다.
Sonatype 연구원 Ilkka Turunen은 "일단 소프트웨어에 악성코드가 설치되면 사용자에게 가짜 모달 프롬프트를 표시하여 지갑을 연결하도록 유도합니다. 사용자가 모달을 클릭하면 악성코드는 연결된 지갑에서 자금을 훔치기 시작합니다." "
악성 파일이 약 5시간 동안 실행된 것으로 추정되지만, 실제로 자금이 도난당하는 활동 기간은 2시간 미만이었습니다.
Ledger는 문제를 완화하기 위해 npm에서 세 가지 악성 Connect Kit 버전을 모두 제거하고 버전 1.1.8을 출시했습니다. 회사는 또한 공격자의 지갑 주소를 보고했으며 스테이블코인 발행업체인 테더(Tether)가 훔친 자금을 동결했다고 언급했습니다.
이 사건은 공급망 공격을 통해 악성 코드를 설치하는 데 점점 더 많이 사용되는 PyPI 및 npm과 같은 소프트웨어 레지스트리와 함께 오픈 소스 생태계에 대한 지속적인 공격을 강조합니다.
Turunen은 다음과 같이 말했습니다. “이 사건은 특히 암호화폐 자산을 표적으로 삼았으며 사이버 범죄자들이 악성 코드로 직접 수익을 창출하여 몇 시간 내에 큰 금전적 이익을 실현하기 위해 사용하는 진화하는 전략을 보여줍니다.”
원문, 저자: 최고보안책임자, 재인쇄할 경우 출처를 밝혀주세요: https://cncso.com/kr/crypto-wallet-supply-chain-attack-leads-to-asset-theft.html
