해커들은 typosquat 패키지로 npm 개발자를 표적으로 삼았습니다.

해커들은 악성 패키지와 관련된 대규모 공격을 통해 잘 알려진 오픈 소스 NPM(노드 패키지 관리자) 레지스트리를 표적으로 삼고 있습니다. Phylum의 공급망 보안 전문가가 발견한 이 공격은 지금까지 287개의 악성 패키지를 탐지했습니다. 해커는 타이포스쿼팅(typosquatting)이라는 기술을 사용합니다. 이는 합법적인 패키지 이름과 유사한 패키지 이름을 사용하여 개발자가 악성 패키지를 다운로드하도록 속입니다.

목표는 코드에 대해 이러한 레지스트리에 의존하는 개발자의 시스템을 감염시키는 것입니다. 악의적인 의도를 숨기기 위해 패키지는 새로운 메커니즘을 사용하여 맬웨어 페이로드를 수신하는 IP 주소를 숨깁니다. IP 주소 대신 악성 코드는 이더리움 메인 네트워크의 특정 연락처 주소로 문자열이나 IP 주소를 검색하는 이더리움 스마트 계약에 접속합니다.

악성 패키지가 설치되면 Vercel 패키지로 가장하는 경우가 많습니다. 재부팅할 때마다 자체적으로 로드되고 Ethereum 계약의 IP 주소에 연결한 다음 여러 요청을 실행하여 나머지 JavaScript 파일을 검색합니다.

해커는 npm에서 타이포스쿼팅을 사용합니다.

프로세서, GPU, 메모리 양, OS 버전 및 사용자 이름에 대한 데이터를 포함하여 영향을 받는 시스템의 시스템 정보는 파일을 검색하는 동일한 서버로 다시 전송됩니다. Phylum의 전문가들은 Ethereum이 본 모든 가치에 대한 불변의 기록을 유지하기 때문에 공격 경로를 재구성할 수 있었습니다. 이를 통해 보안 전문가는 해커가 이러한 유형의 공격에 사용한 모든 IP 주소를 복구할 수 있었습니다.

공격, 특히 다양한 타이포스쿼팅에 대응하기 위해 Phylum은 개발자에게 항상 패키지 이름에 오타가 있는지 주의 깊게 확인하라고 조언합니다. 전문가들은 또한 이 악성코드 캠페인에 사용된 모든 이름, IP 주소 및 암호화 해시 목록을 공개했습니다. 관련 뉴스에 따르면, 다른 해커 그룹도 계속해서 다양한 취약점을 악용하고 있습니다.

예를 들어 Lazarus 해커는 Windows 커널에 대한 또 다른 진입점을 발견했으며 러시아 국가 해커는 Teams를 통해 유럽 회사를 공격해 왔습니다. 예방 조치로 개발자와 조직은 특히 오픈 소스 플랫폼 및 패키지를 다룰 때 경계를 늦추지 않고 정기적으로 보안 권고를 검토해야 합니다.