은밀한 Npm 악성 코드가 인기 있는 이더리움 라이브러리를 후문으로 사용

ReversingLabs의 보안 연구원들이 npm 패키지 저장소를 대상으로 한 정교한 악성 코드 캠페인을 발견하였습니다.

악성 패키지인 ethers-provider2와 ethers-providerz는 널리 사용되는 npm 패키지인 ethers를 비밀리에 수정하여 감염된 시스템에 백도어를 생성합니다. 이 멀웨어는 복잡한 다단계 공격을 사용하기 때문에 표준 npm 멀웨어와는 다릅니다.

이 패키지들은 SSH2 패키지를 복제함으로써 실제 도구처럼 표현되며, 이는 연구원들이 지적한 바와 같이 3억 5천만 회 이상 다운로드 받았습니다. 이 악성 소프트웨어는 보다 해로운 코드를 훔침으로써 자신을 설치하며, 이는 원격 해커 접근을 위한 은폐된 역쉘 기능을 포함하는 이더를 변형시킵니다.

ReversingLabs는 자체 Spectra 플랫폼을 사용하여 이 위협을 감지했습니다. 감염 과정은 ethers-provider2가 설치될 때 시작됩니다. 다운로드된 스크립트는 두 번째 단계의 악성 파일을 실행하며, 이는 감지를 방지하기 위해 실행 후 자동으로 삭제됩니다.

이 악성코드는 패키지를 감지할 때까지 이더의 존재를 확인하고, 그 후에는 provider-jsonrpc.js를 숨겨진 악성 코드가 포함된 가짜 버전으로 바꿉니다.

하지만 공격은 이것으로 끝나지 않습니다. 이 악성코드는 ethers-provider2가 제거된 후에도 감염 상태를 유지하도록 loader.js라는 다른 파일을 생성합니다.

공격자들은 공격의 세 번째 단계 동안 역방향 쉘 연결을 설정하여, 해커들이 손상된 SSH 클라이언트를 통해 원격으로 명령을 실행할 수 있게 합니다. ReversingLabs는 이러한 접근법을 고급 위협 행위자의 능력의 증거로 설명하며, 이는 추가적인 조사를 필요로 합니다.

연구자들은 ethers-providerz를 잠재적인 테스트 버전으로 식별하였는데, 이는 그 코딩에 여러 오류가 포함되어 있었지만 첫 번째 악성 패키지와 동일한 패턴을 따랐기 때문입니다.

보안 전문가들은 보고 시점에도 ethers-provider2가 npm에서 계속 접근 가능했다는 사실을 발견했습니다. 반면 ethers-providerz는 이미 제거되었습니다.

보안 전문가들에 따르면, 개발자들은 신뢰할 수 있는 npm 패키지만을 독점적으로 사용하면서 시스템의 감염 징후를 확인해야 합니다.