레저 CTO "NPM 공급망 공격 진행중...온체인 거래 중단 권고"

레저(Ledger)의 최고기술책임자(CTO) 찰스 귀예메(Charles Guillemet)는 18일(현지시간) 자바스크립트 생태계를 겨냥한 대규모 공급망 사이버 공격이 발생함에 따라 암호화폐 사용자들의 즉각적인 주의를 당부했다.

귀예메는 소셜미디어 X를 통해 신뢰받는 개발자의 NPM 계정이 해킹되어 널리 사용되는 패키지에 악성코드가 심어졌다고 설명했다.

이 패키지들은 10억 회 이상 다운로드된 것으로 알려져 암호화폐 관련 애플리케이션을 포함한 수많은 응용프로그램이 위험에 노출됐을 것으로 우려된다.

귀예메는 "현재 대규모 공급망 공격이 진행 중"이라며 "하드웨어 월렛 사용자들은 거래 서명 전 신중하게 확인하면 안전하다"고 밝혔다.

그는 다른 사용자들에게는 상황이 통제될 때까지 온체인 거래를 일시적으로 중단할 것을 권고했다.

이번 악성코드는 사용자 모르게 암호화폐 주소를 변경해 자금을 공격자에게 이체하는 방식으로 작동한다.

일부 개발자들은 이번 사건을 "역대 최대 규모의 공급망 공격"이 될 수 있다고 평가했다.

보안 연구원 @0x_ultra에 따르면 주간 수십억 회 다운로드되는 Chalk 등 고사용량 라이브러리와 그 종속성이 침해됐다.

그는 이러한 손상된 패키지들이 개인키를 노출시킬 수 있다고 경고했다.

패키지 관리자는 공격자들이 가짜 npmjs.com 도메인에서 발송한 피싱 이메일을 통해 계정 통제권을 탈취했다고 설명했다.

UTC 기준 15시 15분경 패치된 버전이 배포됐으나, 전문가들은 프론트엔드 애플리케이션들이 여전히 위험할 수 있다고 경고했다.

@0xCygaar는 NPM이 손상된 버전들을 비활성화했지만, 최근 업데이트를 실행한 개발자들은 종속성을 주의 깊게 확인해야 한다고 지적했다.

귀예메는 명확한 서명 기능이 있는 하드웨어 월렛은 안전하지만, 소프트웨어 월렛에만 의존하는 사용자들이 가장 큰 위험에 노출되어 있다고 재차 강조했다.

이번 공격은 과거 북한 해커들의 거래소 해킹에서 사용된 것과 유사한 주소 스와핑 멀웨어를 통한 자금 탈취 수법과 비슷한 양상을 보이고 있다.