미확인: npm의 Injective SDK 패키지, 암호화폐 지갑 탈취 멀웨어 감염 루머
확인되지 않은 보도에 따르면, npm에 있는 Injective의 SDK(Software Development Kit) 패키지에 해커가 디지털 지갑 정보를 탈취하기 위한 멀웨어를 주입했을 가능성이 제기되었습니다.
사이버 보안 업계에서는 확인되지 않은 소식통의 보도가 확산되고 있습니다. 금융 분야 블록체인 프로토콜인 Injective Labs의 SDK(Software Development Kit) 패키지가 해커에게 장악되어 개발자용 공개 코드 저장소인 npm(Node Package Manager)에 악성 버전으로 배포되었다고 주장합니다. 이는 암호화폐 지갑의 Private Key와 Mnemonic Seed Phrase를 탈취하려는 목적입니다. 하지만 "탄 AI" 뉴스팀의 조사 결과, 최초 출처로 지목된 BleepingComputer나 다른 신뢰할 수 있는 소식통에서 해당 보도를 찾을 수 없었습니다. 따라서 현재 해당 소식은 "확인되지 않은 루머"로 남아 있습니다. Injective SDK 사례는 아직 확인되지 않았지만, Supply Chain Attack이라고 불리는 이러한 유형의 공격은 npm의 다른 패키지에서 여러 번 실제로 발생했습니다. 예를 들어, dYdX의 경우 위조 패키지가 저장소에 업로드되어 개발자들이 암호화폐 지갑 정보를 훔치는 멀웨어가 삽입된 코드를 다운로드하도록 유도했습니다. 공격 방식은 해커가 인기 오픈소스 프로젝트를 관리하는 개발자의 계정을 침해한 다음 멀웨어를 삽입하기 위해 코드를 몰래 약간 수정하고 새로운 버전으로 배포하는 것입니다. 다른 개발자가 이 최신 버전의 패키지를 사용하면 멀웨어는 즉시 해당 프로젝트에서 작동하기 시작합니다.
이러한 유형의 공격은 태국의 개발자 및 암호화폐 프로젝트 사용자에게 직접적인 위협이 됩니다. 개발자가 멀웨어에 감염된 코드를 사용할 경우, 사용자 자금 손실로 이어지고 프로젝트의 신뢰도를 훼손할 수 있습니다.