Kant's IT/Issue on IT&Security
해커, npm 패키지를 악용해 Solana 개인 키 탈취 시도
Kant Jo
2025. 2. 3. 15:20
Hackers Weaponize npm packages to Steal Solana Private Keys Via Gmail
Hackers Weaponize npm packages to Steal Solana Private Keys Via Gmail
Research team has identified a series of malicious npm packages specifically designed to steal private keys from Solana wallets.
gbhackers.com
- 공격 개요
- Socket 보안 연구팀, 악성 npm 패키지가 Solana 지갑의 개인 키(Private Key)를 탈취하는 공격 발견
- 타이포스쿼팅(Typosquatting) 기법 활용하여 인기 라이브러리를 위장
- Gmail SMTP 서버를 이용한 데이터 유출, 방화벽 탐지 우회 가능
- 악성 npm 패키지 목록
@async-mutex/mutex: 유명 패키지async-mutex를 위장(정상 버전 9,300만+ 다운로드, 악성 버전 240 다운로드)dexscreener: 탈중앙화 거래소(DEX) 데이터를 제공하는 라이브러리로 위장solana-transaction-toolkit: Solana 트랜잭션 처리 도구로 위장, 개인 키 탈취 및 지갑 자금 98% 이체solana-stable-web-huks: Solana 개발 관련 패키지로 위장
- 공격 기법 및 기술적 분석
- Gmail을 통한 데이터 유출
- 하드코딩된 Gmail 계정을 사용해 개인 키를 공격자에게 전송
- 공격자 이메일 예시
vision.high.ever@gmail.comqadeerkhanr5@gmail.com
- 자동화된 트랜잭션 실행
- Solana-transaction-toolkit이 피해자의 지갑을 자동으로 조작
- 트랜잭션 실행 후 자금 98% 탈취, 나머지는 유지하여 탐지 회피
- GitHub 기반 악성 코드 유포
- 가짜 Solana 개발 도구 저장소 운영
- GitHub를 통해 신뢰성을 가장하고 악성 패키지를 확산
- Gmail을 통한 데이터 유출
- 보안 대응 및 방어 전략
- npm 패키지 검증
- 다운로드 수 및 배포자 이력을 확인
- 의심스러운 패키지는 사용 전 정밀 분석
- 코드 의존성 정기 감사
npm audit,yarn audit등을 이용한 패키지 보안 검사- 보안 솔루션을 활용한 코드베이스 점검
- 엄격한 액세스 제어 적용
- 지갑 및 중요 키 파일에 대한 접근 권한 제한
- 다중 인증(MFA) 적용 및 하드웨어 지갑 사용 권장
- 네트워크 트래픽 모니터링
- SMTP 트래픽 및 비정상적인 외부 연결 감시
firewall및IDS/IPS시스템에서 이상 네트워크 패턴 탐지
- 보안 도구 활용
- Socket GitHub 앱을 이용하여 코드 내 악성 종속성 탐지
- 정적 분석 및 서드파티 코드 검토 필수
- npm 패키지 검증