출처: 토큰포스트
소프트웨어 보안 플랫폼 소나타입(Sonatype)의 최신 분기별 멀웨어 보고서에 따르면 2025년 1분기 암호화폐 채굴 멀웨어가 전 분기 대비 두 배로 증가했다.
2일(현지시간) 크립토뉴스에 따르면, 올해 1분기에 발견된 약 1만 8천 개의 악성 패키지 중 7%가 암호화폐 채굴 멀웨어인 것으로 나타났다. 이는 2024년 4분기에 기록된 3.5%에서 두 배 증가한 수치다. 연구원들은 이러한 증가가 “오픈소스 생태계에서 자원 하이재킹 공격이 여전히 만연하고 있음”을 보여준다고 설명했다.
1월 1일부터 3월 31일까지 소나타입은 총 1만 7,954개의 오픈소스 멀웨어를 발견했다. 이는 2024년 1분기와 비교해 두 배 이상 증가한 수치다. 그러나 2024년 4분기의 3만 4천 개 이상의 악성 패키지와 비교하면 감소한 것으로, 연구원들은 “이는 주로 보안 홀딩 패키지의 현저한 감소 때문”이라고 설명했다.
연구원들은 오픈소스 소프트웨어 보안을 “암호화폐 엔지니어와 소프트웨어 개발자들의 기반”이라고 설명하며, 2024년 1분기와 2025년 1분기 사이 멀웨어 패키지의 두 배 증가는 “우려스러운 악화 추세”라고 경고했다.
소나타입 연구원들은 여러 주요 공격 캠페인을 발견했다. 보고서에 따르면, 이들은 하이재킹된 npm 암호화폐 패키지, 위조된 VS 코드용 트러플(Truffle) 패키지, 솔라나(Solana) 개발자들을 대상으로 한 패키지 그룹 등을 포함한다.
보고서는 악의적 행위자들이 여러 암호화폐 관련 npm 패키지를 하이재킹하고 악성 페이로드와 함께 재배포하는 조직적인 공격을 설명했다. 이들은 이를 통해 민감한 정보를 훔치는 데 활용한다.
연구원들은 “이 캠페인을 특히 교묘하게 만드는 것은 공격자들이 암호화폐와 블록체인 개발에 사용되는 패키지에 전략적으로 집중한다는 점으로, 이 분야에서는 자격 증명과 비밀이 종종 매우 가치 있기 때문”이라고 설명했다.
별도의 소프트웨어 공급망 공격에서는 윈도우 기반 트로이 목마를 포함한 npm 패키지가 솔라나 개발자들을 대상으로 했으며, 이들 패키지는 1,900회 이상 다운로드됐다. 연구원들은 “이 사건은 오픈소스 내의 지속적인 위협, 특히 암호화폐 개발 커뮤니티를 겨냥한 위협을 강조한다”고 말했다.
한편, 소나타입의 공동 창업자이자 CTO인 브라이언 폭스(Brian Fox)는 회사가 더 정교한 유형의 오픈소스 멀웨어 증가를 목격했다고 언급했다. 이러한 혁신적인 공격은 멀웨어가 개발 환경에 들어가기 전에 차단되어야 하며, 일단 저장소에 진입하면 너무 늦게 된다고 경고했다.
보고서에 따르면 1분기에 발견된 패키지의 80%는 드로퍼와 코드 삽입 멀웨어와 같은 더 정교하고 위협적인 유형의 멀웨어로 구성됐다. 또한 연구원들은 발견된 멀웨어의 56%(2024년 4분기 26%에서 증가)가 데이터 유출과 관련되어 있으며, 감염된 시스템에서 민감한 정보를 수집한다고 밝혔다.
또한 소나타입은 2025년 1분기에 2만 개 이상의 오픈소스 멀웨어 공격 차단을 도왔다. 이 중 66%는 금융 서비스 기업, 14%는 정부 기관, 7%는 공공 시설, 석유 및 가스 부문에서 발생했다.
“데이터는 생태계 관리자들이 유해한 구성 요소에 대해 조치를 취하는 방식의 의미 있는 변화를 보여주지만, 동시에 위협 행위자들의 증가하는 정교함을 반영한다”고 폭스는 경고했다.
