IronWorm 악성코드가 Arweave 생태계의 npm 라이브러리에 루트킷을 심습니다
공격자들은 Arweave 생태계와 관련된 36개의 npm 패키지 내부에 정보 탈취 악성코드를 심어놓았습니다. 이 악성코드는 개발자dent증명, SSH 키, Exodus 암호화폐 지갑 파일 등을 노렸습니다. 보안 업체 JFrog는 이 공격이 해킹당한 관리자 계정에서 비롯된 것임을 trac했습니다.
이 악성 프로그램은 IronWorm이라고 하며 Rust로 제작되었습니다. 개발자가 npm 패키지를 설치하는 순간 활성화됩니다.dentJFrog 연구팀 노립니다dent, 암호화폐 지갑 데이터 등을
Arweave 프로젝트 패키지에는 숨겨진 Rust 악성코드가 포함되어 있습니다
공격자들은 Arweave/WeaveDB 분산 데이터베이스 프로젝트의 일부인 asteroid-dao GitHub 그룹에 속한 "asteroiddao"라는 npm 계정을 해킹했습니다.
"asteroiddao" 계정과 관련된 모든 패키지는 짧은 시간 내에 다시 게시되었으며, 각 새 버전에는 tools/ 디렉터리에 있는 976KB 크기의 Linux 파일이 포함되어 있습니다.
해당 파일은 package.json 의 사전 설치 후크를 되도록 설정되어 있었기matic통해 자동으로 때문에 npm이 아무것도 설치하기 시작하기도 전에 실행되었습니다. 피해자는 npm install 명령만 실행하면 되었습니다 .
JFrog 팀은 해당 파일을 분석한 결과, 일반적인 압축 해제 도구를 속이도록 설계된 방식으로 압축되어 있음을 발견했습니다. 파일 안에는 문자열을 개별적으로 암호화하고 각각 따로 잠가 분석을 훨씬 어렵게 만드는 대규모 Rust 프로그램이 들어 있었습니다.
해당 문자열들이 마침내 해독되었을 때, 그 안에는 GitHub API 엔드포인트,dent증명 파일 경로, 실제 GitHub 사용자 ID와 연결된 가짜 봇 계정, 그리고 다른 패키지 레지스트리에 악성 코드를 주입하기 위한 템플릿 등이 포함되어 있었습니다.

도난당한 GitHub 토큰으로 악성코드가 커밋을 푸시하고 더 많은 저장소를 감염시킬 수 있습니다
아이언웜은dent증명을 수집한 후, 이를 이용해 피해자가 접근할 수 있는 저장소에 커밋을 푸시했습니다. 이러한 커밋은 동일한 악성 바이너리를 다른 패키지에 심었고, 해당 패키지는 npm에 게시되어 다음 개발자에게까지 영향을 미칠 수 있었습니다.
JFrog는 9개의 GitHub 조직 에서 57개의 악성 커밋을 발견했는데 , 이 커밋들은 작성자 이름에 "claude"와 이메일 주소 claude@users.noreply.github.com 을 사용했습니다 . 타임스탬프는 각 저장소의 가장 최근 정상 커밋과 일치하도록 위조되었습니다. 한 커밋은 13년 전으로 거슬러 올라가는 것처럼 보였지만, GitHub Actions 로그를 확인해 보니 모든 푸시는 발견 후 며칠 이내에 발생한 것으로 나타났습니다.
피해를 입은 조직에는 asteroid-dao, weavedb, ArweaveOasis 및 개발자 "ocrybit"과 관련된 여러 개인 계정이 포함됩니다
아이언웜은 감염된 시스템에 숨기기 위해 eBPF 커널 루트킷을 배포했습니다. 운영자와의 통신은 토르 네트워크를 통해 이루어졌습니다. 러스트 컴파일러는 루트킷의 소스 코드를 바이너리에 남겨두었는데, 이는 분석을 용이하게 만든 운영상의 오류였습니다.
특이한 점은 공격자가 악성코드에 자신의 암호화폐 지갑 복구 문구를 하드코딩했다는 것입니다. JFrog는 이것이 테스트 중에 공격자가 자신의dent정보를 유출하는 것을 막기 위한 안전장치라고 결론지었습니다.
npm에 악성코드 공격이 계속되고 있습니다
애플리케이션 보안 업체인 Ox Security는 이번 공격이 npm의 더 많은 패키지로 확산되기 전에 조기에 발견되었다고 밝혔습니다
악성 버전은 하루 만에 사용 중단 대상으로 표시되었고, 대부분의 이전 버전 커밋은 그 직후 GitHub에서 삭제되었습니다.
5월 14일, 해커들이 주간 다운로드 횟수가 82만 2천 건이 넘는 node-ipc 패키지의 비활성화된 관리자 계정을 악용했습니다. 공격은 관리자의 만료된 이메일 도메인을 재등록하고 npm 비밀번호를 재설정하는 방식으로 이루어졌습니다. 유출된 세 가지 변종에는dent90개 이상의 개발자 보안 정보를 탈취하려는
보안 회사인 Endor Labs와 StepSecurity는 동일한 시기에 레지스트리 변조 및 GitHub Actions 감염을 일으키는 유사한 공격을 수행한 binding.gyp라는 자바스크립트 기반 악성코드를 사용한 동시다발적이지만 별개의 공격을dent.
영향을 받는 WeaveDB 패키지를 설치한 개발자는 모든dent증명을 주기적으로 교체하고, 잠금 파일에서 예기치 않은 버전 변경 사항을 확인하고, npm 및 GitHub 계정에 2단계 인증을 활성화해야 합니다.
암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.









코멘트 (0)
$ 버튼을 클릭하고, 종목 코드를 입력한 후 주식, ETF 또는 기타 티커를 연결합니다.