tradingkey.logo
tradingkey.logo
검색

IronWorm 악성코드가 Arweave 생태계의 npm 라이브러리에 루트킷을 심습니다

CryptopolitanJun 6, 2026 4:16 AM
facebooktwitterlinkedin
모든 코멘트 보기0

공격자들은 Arweave 생태계와 관련된 36개의 npm 패키지 내부에 정보 탈취 악성코드를 심어놓았습니다. 이 악성코드는 개발자dent증명, SSH 키, Exodus 암호화폐 지갑 파일 등을 노렸습니다. 보안 업체 JFrog는 이 공격이 해킹당한 관리자 계정에서 비롯된 것임을 trac했습니다.

이 악성 프로그램은 IronWorm이라고 하며 Rust로 제작되었습니다. 개발자가 npm 패키지를 설치하는 순간 활성화됩니다.dentJFrog 연구팀 노립니다dent, 암호화폐 지갑 데이터 등을

Arweave 프로젝트 패키지에는 숨겨진 Rust 악성코드가 포함되어 있습니다

공격자들은 Arweave/WeaveDB 분산 데이터베이스 프로젝트의 일부인 asteroid-dao GitHub 그룹에 속한 "asteroiddao"라는 npm 계정을 해킹했습니다.

"asteroiddao" 계정과 관련된 모든 패키지는 짧은 시간 내에 다시 게시되었으며, 각 새 버전에는 tools/ 디렉터리에 있는 976KB 크기의 Linux 파일이 포함되어 있습니다.

해당 파일은 package.json사전 설치 후크를 되도록 설정되어 있었기matic통해 자동으로 때문에 npm이 아무것도 설치하기 시작하기도 전에 실행되었습니다. 피해자는 npm install 명령만 실행하면 되었습니다 .

JFrog 팀은 해당 파일을 분석한 결과, 일반적인 압축 해제 도구를 속이도록 설계된 방식으로 압축되어 있음을 발견했습니다. 파일 안에는 문자열을 개별적으로 암호화하고 각각 따로 잠가 분석을 훨씬 어렵게 만드는 대규모 Rust 프로그램이 들어 있었습니다.

해당 문자열들이 마침내 해독되었을 때, 그 안에는 GitHub API 엔드포인트,dent증명 파일 경로, 실제 GitHub 사용자 ID와 연결된 가짜 봇 계정, 그리고 다른 패키지 레지스트리에 악성 코드를 주입하기 위한 템플릿 등이 포함되어 있었습니다.

공격자들이 Arweave의 WeaveDB npm 패키지를 트로이목마화하여 악성코드를 배포했습니다.
Arweave 생태계와 관련된 감염된 npm 패키지를 보여주는 스크린샷. 출처: Jfrog.

도난당한 GitHub 토큰으로 악성코드가 커밋을 푸시하고 더 많은 저장소를 감염시킬 수 있습니다

아이언웜은dent증명을 수집한 후, 이를 이용해 피해자가 접근할 수 있는 저장소에 커밋을 푸시했습니다. 이러한 커밋은 동일한 악성 바이너리를 다른 패키지에 심었고, 해당 패키지는 npm에 게시되어 다음 개발자에게까지 영향을 미칠 수 있었습니다.

JFrog는 9개의 GitHub 조직 에서 57개의 악성 커밋을 발견했는데 , 이 커밋들은 작성자 이름에 "claude"와 이메일 주소 claude@users.noreply.github.com 을 사용했습니다 . 타임스탬프는 각 저장소의 가장 최근 정상 커밋과 일치하도록 위조되었습니다. 한 커밋은 13년 전으로 거슬러 올라가는 것처럼 보였지만, GitHub Actions 로그를 확인해 보니 모든 푸시는 발견 후 며칠 이내에 발생한 것으로 나타났습니다.

피해를 입은 조직에는 asteroid-dao, weavedb, ArweaveOasis 및 개발자 "ocrybit"과 관련된 여러 개인 계정이 포함됩니다

아이언웜은 감염된 시스템에 숨기기 위해 eBPF 커널 루트킷을 배포했습니다. 운영자와의 통신은 토르 네트워크를 통해 이루어졌습니다. 러스트 컴파일러는 루트킷의 소스 코드를 바이너리에 남겨두었는데, 이는 분석을 용이하게 만든 운영상의 오류였습니다.

특이한 점은 공격자가 악성코드에 자신의 암호화폐 지갑 복구 문구를 하드코딩했다는 것입니다. JFrog는 이것이 테스트 중에 공격자가 자신의dent정보를 유출하는 것을 막기 위한 안전장치라고 결론지었습니다.

npm에 악성코드 공격이 계속되고 있습니다

애플리케이션 보안 업체인 Ox Security는 이번 공격이 npm의 더 많은 패키지로 확산되기 전에 조기에 발견되었다고 밝혔습니다

악성 버전은 하루 만에 사용 중단 대상으로 표시되었고, 대부분의 이전 버전 커밋은 그 직후 GitHub에서 삭제되었습니다.

5월 14일, 해커들이 주간 다운로드 횟수가 82만 2천 건이 넘는 node-ipc 패키지의 비활성화된 관리자 계정을 악용했습니다. 공격은 관리자의 만료된 이메일 도메인을 재등록하고 npm 비밀번호를 재설정하는 방식으로 이루어졌습니다. 유출된 세 가지 변종에는dent90개 이상의 개발자 보안 정보를 탈취하려는

보안 회사인 Endor Labs와 StepSecurity는 동일한 시기에 레지스트리 변조 및 GitHub Actions 감염을 일으키는 유사한 공격을 수행한 binding.gyp라는 자바스크립트 기반 악성코드를 사용한 동시다발적이지만 별개의 공격을dent.

영향을 받는 WeaveDB 패키지를 설치한 개발자는 모든dent증명을 주기적으로 교체하고, 잠금 파일에서 예기치 않은 버전 변경 사항을 확인하고, npm 및 GitHub 계정에 2단계 인증을 활성화해야 합니다.

암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.

면책 조항: 이 웹사이트에서 제공되는 정보는 교육적이고 정보 제공을 위한 목적으로만 사용되며, 금융 또는 투자 조언으로 간주되어서는 안 됩니다.

코멘트 (0)

$ 버튼을 클릭하고, 종목 코드를 입력한 후 주식, ETF 또는 기타 티커를 연결합니다.

0/500
코멘트 가이드라인
로딩 중...

추천 기사

tradingkey.logo
* 참고자료, 분석 및 트레이딩 전략은 제3자 제공업체인 Trading Central에서 제공하며, 분석가의 독립적인 평가와 판단에 기반한 시각으로, 투자자의 투자 목표와 재정 상황은 고려되지 않습니다.
위험 경고: 저희 웹사이트와 모바일 앱은 특정 투자 상품에 대한 일반적인 정보만을 제공합니다. Finsights는 재정적 조언이나 투자 상품에 대한 추천을 제공하지 않으며, 이러한 정보 제공이 Finsights가 금융 조언이나 추천을 제공하는 것으로 해석되어서는 안 됩니다.
투자 상품은 투자 원금 손실을 포함한 상당한 투자 위험에 노출되어 있으며, 모든 사람에게 적합하지 않을 수 있습니다. 투자 상품의 과거 성과는 미래 성과를 보장하지 않습니다.
Finsights는 제3자 광고주나 제휴사가 저희 웹사이트나 모바일 앱 또는 그 일부에 광고를 게재하거나 전달할 수 있도록 허용할 수 있으며, 사용자가 광고와 상호작용하는 방식에 따라 이들로부터 보상을 받을 수 있습니다.
© 저작권: FINSIGHTS MEDIA PTE. LTD. 모든 권리 보유