NPM에 업로드된 수백 개의 악성 코드 라이브러리가 개발자 머신에 멀웨어를 설치중

• 현재 진행 중인 공격은 NPM(Node Package Manager) 저장소에 수백 개의 악성 패키지를 업로드하여 해당 코드 라이브러리에 의존하는 개발자 장치를 감염시키려 함
• 악성 패키지의 이름은 Puppeteer, Bignum.js 등 합법적인 코드 라이브러리 및 다양한 암호화폐 라이브러리와 유사함
• 이 캠페인은 이 글이 게시될 당시에도 활성화되어 있었으며 보안 회사인 Phylum이 발견함

공급망 공격에 주의해야 함

• 멀웨어 제작자들은 의도를 숨기고 자신들이 제어하는 원격 서버를 난독화하는 새로운 방법을 모색해야 했음
  • 이는 공급망 공격이 계속해서 활발히 이루어지고 있음을 보여주는 지속적인 경고임
• 설치된 악성 패키지는 악성 2단계 멀웨어 페이로드를 받기 위해 연결하는 IP 주소를 숨기는 새로운 방법을 사용함
  • 1단계 코드에는 IP 주소가 전혀 나타나지 않음. 대신 이더리움 스마트 계약에 액세스하여 이더리움 메인넷의 특정 계약 주소와 관련된 문자열(IP 주소)을 가져옴
  • Phylum에서 분석한 패키지에서 반환된 IP 주소는 hxxp://193.233.201[.]21:3001 이었음
• 이더리움 블록체인에 데이터를 저장하면 공격자가 이전에 사용했던 IP 주소를 볼 수 있음
  • 이더리움은 지금까지 본 모든 값의 변경할 수 없는 기록을 저장함
  • 따라서 이 위협 행위자가 사용한 모든 IP 주소를 볼 수 있음
• 악성 패키지는 Vercel 패키지 형태로 설치되고 메모리에서 실행됨
  • 페이로드는 재부팅할 때마다 로드되도록 설정하고 이더리움 계약의 IP 주소에 연결함
  • 추가 Javascript 파일을 가져오기 위해 여러 요청을 수행한 다음 동일한 요청 서버로 시스템 정보를 다시 게시함
  • 이 정보에는 GPU, CPU, 머신의 메모리 양, 사용자 이름 및 OS 버전에 대한 정보가 포함됨
• 오타를 이용한 공격이 널리 사용됨
  • 이 공격은 합법적인 패키지와 매우 유사하지만 몇글자만 다른 이름을 사용하는 typosquatting에 의존함
  • Typosquatting은 지난 5년 동안 개발자가 악성 코드 라이브러리를 다운로드하도록 속이는데 사용되어 왔음
  • 개발자는 다운로드한 패키지를 실행하기 전에 이름을 항상 이중 확인해야 함