8P by neo 27일전 | favorite | 댓글 8개
  • 현재 진행 중인 공격은 NPM(Node Package Manager) 저장소에 수백 개의 악성 패키지를 업로드하여 해당 코드 라이브러리에 의존하는 개발자 장치를 감염시키려 함
  • 악성 패키지의 이름은 Puppeteer, Bignum.js 등 합법적인 코드 라이브러리 및 다양한 암호화폐 라이브러리와 유사함
  • 이 캠페인은 이 글이 게시될 당시에도 활성화되어 있었으며 보안 회사인 Phylum이 발견함

공급망 공격에 주의해야 함

  • 멀웨어 제작자들은 의도를 숨기고 자신들이 제어하는 원격 서버를 난독화하는 새로운 방법을 모색해야 했음
    • 이는 공급망 공격이 계속해서 활발히 이루어지고 있음을 보여주는 지속적인 경고임
  • 설치된 악성 패키지는 악성 2단계 멀웨어 페이로드를 받기 위해 연결하는 IP 주소를 숨기는 새로운 방법을 사용함
    • 1단계 코드에는 IP 주소가 전혀 나타나지 않음. 대신 이더리움 스마트 계약에 액세스하여 이더리움 메인넷의 특정 계약 주소와 관련된 문자열(IP 주소)을 가져옴
    • Phylum에서 분석한 패키지에서 반환된 IP 주소는 hxxp://193.233.201[.]21:3001 이었음
  • 이더리움 블록체인에 데이터를 저장하면 공격자가 이전에 사용했던 IP 주소를 볼 수 있음
    • 이더리움은 지금까지 본 모든 값의 변경할 수 없는 기록을 저장함
    • 따라서 이 위협 행위자가 사용한 모든 IP 주소를 볼 수 있음
  • 악성 패키지는 Vercel 패키지 형태로 설치되고 메모리에서 실행됨
    • 페이로드는 재부팅할 때마다 로드되도록 설정하고 이더리움 계약의 IP 주소에 연결함
    • 추가 Javascript 파일을 가져오기 위해 여러 요청을 수행한 다음 동일한 요청 서버로 시스템 정보를 다시 게시함
    • 이 정보에는 GPU, CPU, 머신의 메모리 양, 사용자 이름 및 OS 버전에 대한 정보가 포함됨
  • 오타를 이용한 공격이 널리 사용됨
    • 이 공격은 합법적인 패키지와 매우 유사하지만 몇글자만 다른 이름을 사용하는 typosquatting에 의존함
    • Typosquatting은 지난 5년 동안 개발자가 악성 코드 라이브러리를 다운로드하도록 속이는데 사용되어 왔음
    • 개발자는 다운로드한 패키지를 실행하기 전에 이름을 항상 이중 확인해야 함

하여튼 그놈의 코인이 문제다

스마트컨트렉을 사용중이라면 같이 공격해서 해커의 gas 를 소진시킬수도 있지 않을까 싶군요 ㅎㅎㅎㅎ

Nix-store 에 멀웨어 검색기좀 있었시면 좋겠습니다 찾어봐야지 개발자는 다들 nix로 옮겨요. 디지털 자산전부 박제시켜 굳힌다음 못건드리게 해야지요. 그리고 국가는 rag ai나 만들어서 기업에 배포좀 해주지 언제할래나요 화이링 이거 동남아보다 못한 개발환경 언제 끝날래나

무슨 회사를 다니시길래 동남아보다 못한 개발환경에서 일하시나요...

회사 문제가 아니라 국가 정책적인 문제 때문임을 말씀하시는 거겠죠.

npm은 심심할만 하면 이 이슈가 발생하는데 다른 언어들의 패키지 저장소는 이런 문제가 없나요?

예를 들어 패키지 매니저의 기본 설정이 allow-net=false or ignore-scripts=true라서 안전한건지 비슷한 상황인건지 ..

Npm이 많이 쓰여서 눈에 자주 뜨이는거지
다른 언어 패키지 저장소도 다 마찬가지에요.

이렇게 원격에서 라이브러리를 자동으로 가져와 사용하는 도구들, cargo, alire, maven 등등은 다 비슷한 위협에 노출되어 있는게 아닌가 합니다.