PyPI Repository Found Hosting Fake Crypto Wallet Recovery Tools That Steal User Data
PyPI Repository Found Hosting Fake Crypto Wallet Recovery Tools That Steal User Data
Malicious PyPI packages disguised as crypto wallet tools steal sensitive data, targeting popular wallets like Trust and MetaMask.
thehackernews.com
Cryptocurrency Wallets Targeted via Python Packages Uploaded to PyPI
- 개요
- Python Package Index(PyPI)에서 발견된 악성 패키지가 암호화폐 지갑 복구 및 관리 도구로 위장해 사용자의 민감한 데이터를 탈취
- 주로 Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus 등 주요 암호화폐 지갑 사용자를 대상으로 함
- Checkmarx 연구원 Yehuda Gelb는 이 악성 패키지들이 지갑 복구 또는 관리 도구로 위장하여 개인 키와 니모닉 문구 등 민감한 데이터를 도용했다고 분석
- 악성 패키지 목록
- atomicdecoderss (366 다운로드)
- trondecoderss (240 다운로드)
- phantomdecoderss (449 다운로드)
- trustdecoderss (466 다운로드)
- exodusdecoderss (422 다운로드)
- walletdecoderss (232 다운로드)
- ccl-localstoragerss (335 다운로드)
- exodushcates (415 다운로드)
- cipherbcryptors (450 다운로드)
- ccl_leveldbases (407 다운로드)
- 공격 방식
- 패키지들은 설치 설명서, 사용 예시 등을 제공해 신뢰성을 높이려 했으며, 다운로드 수를 조작하여 인기를 끌어모으려 함
- 악성 기능은 특정 함수가 호출될 때만 활성화되어 탐지 회피
- 수집된 데이터는 원격 서버로 유출되며, 공격자는 서버 주소를 하드코딩하지 않고 외부 자원을 통해 동적으로 정보를 가져옴 (Dead Drop Resolver 기법)
- 피해 예방 방안
- 신뢰할 수 없는 패키지의 설치를 피하고, 오픈소스 패키지에 대한 보안 검증을 강화
- PyPI 패키지 다운로드 시 신뢰할 수 있는 출처와 검증된 라이브러리만을 사용할 것
- 악성 코드 탐지 도구와 지속적인 모니터링을 통해 시스템을 보호
- 암호화폐 업계의 최근 공격 동향
- 2024년 8월에는 CryptoCore라는 암호화폐 사기 그룹이 딥페이크 기술과 가짜 유튜브 계정을 사용해 사용자들을 속여 자산을 탈취하는 사건 발생
- Check Point는 최근 WalletConnect 오픈소스 프로토콜을 사칭한 악성 Android 앱이 약 7만 달러의 암호화폐를 탈취한 사건을 보고
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| ICS/OT 보안을 위한 MITRE EMB3D 위협 모델 및 대응책 추가 (2) | 2024.10.09 |
|---|---|
| 클라우드 보안에서 ‘ID 우선 전략’의 중요성 (2) | 2024.10.09 |
| 데이터 안보와 경제적 관점에서의 글로벌 플랫폼 경쟁력 (2) | 2024.10.09 |
| 구글, 이제 CAPTCHA를 없애야 할 때 (1) | 2024.10.09 |
| 생성형 AI와 사이버 회복탄력성의 도전 과제 (1) | 2024.10.09 |