체크막스 연구원들이 NPM 자바스크립트 패키지를 대상으로 하는 크립토마이닝 공격을 발견했다.

연구원들에 따르면, 이번 공격은 큐트보이(CuteBoi)라는 이름으로 불리는 것으로 알려졌다. 큐트보이를 운영하는 해커는 리포지토리에 1283개의 악성 모듈을 설치하고 1000개 이상의 계정을 도용했다.

연구원들은 NPM 사용자의 의심스러운 움직임과 패키지를 자동으로 생성하는 버스트를 통해 이번 공격을 발견했다. 

체크막스 연구원들은 “천 개가 넘는 다른 사용자 계정을 통해 레지스트리에 접근한 1200개 이상의 NPM 패키지를 감지했다. 해커는 NPM 2FA 챌린지를 통과하는 기능과 함께 자동화를 사용했다. 우리는 이 공격을 큐트보이라고 부른다. 많은 패키지의 구성 파일에 코딩된 사용자의 이름과 해커가 사용하고 있는 NPM 사용자 이름 중 하나인 cloudboi12에서 이름을 따왔다”라고 설명했다.

이 악성 NPM 패키지에는 XMRig 마이닝 소프트웨어를 둘러싼 JS 래퍼인 eazyminer 패키지의 코드 복사본이 포함돼 있다. 래퍼는 ci/cd 및 웹 서버와 같은 시스템의 미사용 리소스를 사용하도록 설계됐다.

연구원들은 악성 패키지가 설치돼도 시스템에는 큰 영향을 미치지 않을 것이라며, 해당 패키지는 다른 프로그램 내에서 실행될 수 있지만 독립적으로는 작동하지 않는다고 설명했다.  

큐트보이 NPM 크립토마이닝 공격

큐트보이는 mail.tm이라는 일회용 이메일 서비스를 사용해 NPM 저장소에 패키지를 자동으로 업로드한다.

mail.tm은 REST API를 제공해 일회용 메일함을 열고 간단한 API 호출로 받은 메일을 읽을 수 있다. 여기서 큐트보이 운영자는 사용자 계정을 만들 때 NPM 2FA 챌린지 통해 인증을 우회할 수 있다. 

전문가들에 따르면, 큐트보이는 자동화를 사용해 NPM에 대한 대규모 공격을 시도한 두 번째 공격 조직이며 앞으로 이러한 공격은 더 많이 발생할 것으로 예상된다.

최근 보안 전문가들은 다운스트림 모바일 애플리케이션 및 웹사이트에 포함된 양식에서 민감한 데이터를 훔치는 것을 목표로 하는 IconBurst라는 대규모 공급망 공격을 발견하기도 했다.

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

곽중희 기자 다른기사 보기