Kant's IT/Issue on IT&Security

PyPI 리포지토리에서 발견된 가짜 암호화폐 지갑 복구 도구

Kant Jo 2024. 10. 9. 19:53

PyPI Repository Found Hosting Fake Crypto Wallet Recovery Tools That Steal User Data

 

PyPI Repository Found Hosting Fake Crypto Wallet Recovery Tools That Steal User Data

Malicious PyPI packages disguised as crypto wallet tools steal sensitive data, targeting popular wallets like Trust and MetaMask.

thehackernews.com

 

Cryptocurrency Wallets Targeted via Python Packages Uploaded to PyPI

 

  • 개요
    • Python Package Index(PyPI)에서 발견된 악성 패키지암호화폐 지갑 복구 및 관리 도구로 위장해 사용자의 민감한 데이터를 탈취
    • 주로 Atomic, Trust Wallet, Metamask, Ronin, TronLink, Exodus 등 주요 암호화폐 지갑 사용자를 대상으로 함
    • Checkmarx 연구원 Yehuda Gelb는 이 악성 패키지들이 지갑 복구 또는 관리 도구로 위장하여 개인 키니모닉 문구 등 민감한 데이터를 도용했다고 분석
  • 악성 패키지 목록
    • atomicdecoderss (366 다운로드)
    • trondecoderss (240 다운로드)
    • phantomdecoderss (449 다운로드)
    • trustdecoderss (466 다운로드)
    • exodusdecoderss (422 다운로드)
    • walletdecoderss (232 다운로드)
    • ccl-localstoragerss (335 다운로드)
    • exodushcates (415 다운로드)
    • cipherbcryptors (450 다운로드)
    • ccl_leveldbases (407 다운로드)
  • 공격 방식
    • 패키지들은 설치 설명서, 사용 예시 등을 제공해 신뢰성을 높이려 했으며, 다운로드 수를 조작하여 인기를 끌어모으려 함
    • 악성 기능은 특정 함수가 호출될 때만 활성화되어 탐지 회피
    • 수집된 데이터는 원격 서버로 유출되며, 공격자는 서버 주소를 하드코딩하지 않고 외부 자원을 통해 동적으로 정보를 가져옴 (Dead Drop Resolver 기법)
  • 피해 예방 방안
    • 신뢰할 수 없는 패키지의 설치를 피하고, 오픈소스 패키지에 대한 보안 검증을 강화
    • PyPI 패키지 다운로드 시 신뢰할 수 있는 출처와 검증된 라이브러리만을 사용할 것
    • 악성 코드 탐지 도구지속적인 모니터링을 통해 시스템을 보호
  • 암호화폐 업계의 최근 공격 동향
    • 2024년 8월에는 CryptoCore라는 암호화폐 사기 그룹이 딥페이크 기술가짜 유튜브 계정을 사용해 사용자들을 속여 자산을 탈취하는 사건 발생
    • Check Point는 최근 WalletConnect 오픈소스 프로토콜을 사칭한 악성 Android 앱이 약 7만 달러의 암호화폐를 탈취한 사건을 보고