Malicious Obfuscated NPM Package Disguised as an Ethereum Tool Deploys Quasar RAT
- 악성 패키지 개요
- ethereumvulncontracthandler라는 NPM 패키지가 발견됨
- 이더리움 스마트 계약의 취약성을 탐지하는 라이브러리로 위장
- 실제로는 Quasar RAT을 배포해 개발자 시스템을 감염
- 패키지는 2024년 12월 18일 게시되었으며, 현재까지 66회 다운로드됨
- 공격 방식
- 설치 시 원격 서버("jujuju[.]lat")에서 악성 스크립트를 가져와 PowerShell 명령을 실행
- Quasar RAT을 시스템에 배포하고 지속성을 유지하기 위해 Windows 레지스트리 수정
- 감염된 시스템은 C2 서버("captchacdn[.]com:7000")와 통신하며 추가 명령 및 데이터 탈취 수행
- 샌드박스 회피 및 다단계 페이로드:
- Base64 및 XOR 인코딩, 최소화(minification) 기법으로 분석 및 탐지 회피
- 샌드박스 환경 여부를 체크한 후 추가 페이로드를 로드
- Quasar RAT의 위협
- Quasar RAT은 2014년 GitHub에 공개된 원격 접근 트로이목마
- 주요 기능
- 키로깅, 스크린샷 캡처, 데이터 탈취
- C2 서버와의 지속적인 통신으로 명령 수신 및 실행
- 멀티 호스트 관리로 봇넷 형태로 감염 시스템 제어 가능
- GitHub의 가짜 별점 문제
- GitHub 리포지토리의 별점(star)을 조작해 악성 패키지의 신뢰도를 인위적으로 부풀림
- Socket 및 학계 연구에 따르면, 4.5백만 개의 가짜 별점이 22,915개 리포지토리에서 확인
- 별점 판매 시장("Baddhi Shop", "BuyGitHub")이 가짜 별점을 제공하며 패키지의 가시성을 증가
- Microsoft는 가짜 별점 제거를 위해 노력 중이지만 문제는 여전히 지속
- 보안 권고
- 패키지 설치 전 검증
- 별점이나 다운로드 수만으로 신뢰하지 말고 코드와 활동 패턴을 직접 검토
- 의심스러운 패키지 탐지
- 비정상적인 별점 증가 및 짧은 활동 기록이 있는 리포지토리를 주의
- 보안 도구 활용
- 소프트웨어 공급망 보안을 강화하기 위한 NPM, PyPI 등 패키지 레지스트리 모니터링 도구 사용
- Quasar RAT 탐지 및 제거
- 의심스러운 네트워크 트래픽과 레지스트리 변경 사항을 모니터링
- 감염된 시스템에서 즉각적으로 악성코드 제거 수행
- 패키지 설치 전 검증
- 결론
- NPM 패키지 공급망 공격은 오픈소스 생태계의 신뢰성을 위협
- 개발자는 설치 전 철저한 검토와 공급망 보안 강화를 통해 악성 패키지로부터 시스템을 보호해야 함
- GitHub 등 플랫폼은 가짜 별점 문제를 해결하고 신뢰 지표의 정확성을 높여야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 잘못된 사이버 보안 구성 사례 10가지와 개선 방안 (0) | 2025.01.14 |
|---|---|
| 개인정보처리자가 아닌 자에 대한 처벌과 주요 판례 (0) | 2025.01.14 |
| 크롬 플러그인 침해 캠페인: 크리덴셜 탈취와 대규모 사용자 데이터 유출 (0) | 2025.01.14 |
| 북한 해커 그룹과 OtterCookie 멀웨어를 활용한 Contagious Interview 캠페인 (0) | 2025.01.14 |
| 미국 재무부 시스템 해킹 사건: 중국 해커 배후로 지목 (0) | 2025.01.14 |