러시아 개발자를 노린 암호화폐 정보 탈취 공격? 배후에 숨겨진 진실은?
최근 npm 패키지 관리 플랫폼에서 발견된 두 개의 악성 패키지가 암호화폐 커뮤니티에 큰 파장을 일으키고 있습니다. "solana-pump-test"와 "solana-spl-sdk"라는 이름의 이 패키지들은 솔라나 생태계의 소프트웨어 개발자들을 표적으로 삼았습니다. 하지만 공격의 배후, 공격 대상, 그리고 그 동기에 대한 추측들이 난무하면서, 이번 사건이 국가 지원을 받는 공격일 가능성까지 제기되고 있습니다.
솔라나 개발자를 노린 정보 탈취 공격
보안 연구팀 Safety는 문제의 npm 패키지들을 분석한 결과, 동일한 작성자가 업로드했으며, 동일한 악성 코드를 포함하고 있다는 사실을 밝혀냈습니다. 이 패키지들이 설치되면, 감염된 기기에서 민감한 정보를 유출하는 스크립트가 실행됩니다. 여기에는 암호화폐 자금에 접근 권한을 부여하는 개인 키도 포함됩니다. 공격자들은 탈취한 정보를 바탕으로 암호화폐 자금을 빼돌릴 수 있었습니다.
공격 대상과 배후 세력은 누구인가?
Safety의 조사 결과, 악성 패키지를 다운로드하고 실행한 개발자들은 러시아에 거주하는 것으로 밝혀졌습니다. 반면, 유출된 데이터가 전송된 IP 주소를 분석한 결과, 공격자들은 미국에 위치한 것으로 추정됩니다. 이러한 사실은 현재 미국과 러시아 간의 긴장된 지정학적 관계를 고려할 때, 미국이 배후에 있는 위협 행위자가 러시아를 공격한 것이 아닌가 하는 의문을 불러일으켰습니다.
npm 플랫폼의 특성과 러시아의 사이버 공격
npm은 러시아 기업이 아닌, GitHub의 자회사인 npm, Inc.에서 운영하는 플랫폼입니다. 하지만 러시아는 암호화폐 사용자 또는 대규모 기업을 표적으로 삼아 금전적 이득을 취하는 악성 그룹을 다수 보유하고 있습니다. Evil Corp, Sandworm, APT28 (Fancy Bear)과 같은 그룹들은 암호화폐를 탈취하거나 랜섬웨어를 배포하는 캠페인과 연관되어 있습니다.
암호화폐 범죄자들을 노린 공격일 가능성
따라서 이번 공격이 일반적인 암호화폐 개발자뿐만 아니라, 암호화폐 범죄자들을 겨냥한 것일 가능성도 배제할 수 없습니다. 러시아 기반의 해커들이 암호화폐 범죄에 연루되어 있을 가능성을 고려하면, 이번 공격이 범죄자들의 자금 탈취를 목적으로 했을 수도 있습니다. 물론, 아직까지는 추측에 불과하지만, 여러 정황들을 종합해 볼 때 다양한 가능성을 열어두고 수사를 진행해야 할 것입니다.
맺음말
이번 사건은 암호화폐 생태계의 보안 취약성을 다시 한번 드러내는 사례입니다. 개발자들은 npm 패키지를 다운로드할 때 더욱 신중해야 하며, 보안 업데이트를 꾸준히 적용하여 잠재적인 위협에 대비해야 합니다. 또한, 암호화폐 사용자들은 개인 키와 같은 민감한 정보를 안전하게 관리하고, 의심스러운 링크나 파일을 클릭하지 않도록 주의해야 합니다.
