홈으로 돌아가기

악성 npm 패키지가 Polymarket 봇 키를 훔칩니다

npm의 악성 sleek-pretty 패키지가 Polymarket 봇 개발자를 표적으로 삼아 API 키를 도난하고 SSH 백도어를 이식합니다. 이 공격은 Lazarus Group과 연관되어 있습니다. 크립토 산업을 위한 위험, 결과 및 보호 조치 분석.

해커들이 npm을 통해 Polymarket 봇을 공격: 위협 세부 사항
Advertisement 728x90

악성 npm 패키지, Polymarket 봇 개발자 노려

Polymarket 플랫폼용 트레이딩 봇 개발자들이 npm 저장소에 게시된 'sleek-pretty'라는 악성 패키지를 통해 공격을 받았다. 로깅 라이브러리로 위장한 이 도구는 API 키와 지갑 개인 키 등 민감한 정보를 탈취해 사용자의 막대한 재정적 손실 위험을 초래한다.

공격 방식과 대상

이 패키지는 4월 10일 probull02 계정으로 npm에 등록됐다. 프로젝트에 설치되는 즉시 자동으로 실행되며, 일반적인 보안 검사를 우회한다. 코드는 난독화되어 있어 위협 탐지가 어렵다.

공격 대상은 제한적이다. 수억 달러 규모의 거래량을 다루는 분산형 예측시장 플랫폼 Polymarket에서 자동화 시스템을 구축하는 개발자들이다. 이러한 봇은 일반적으로 .env 파일에 인증 정보를 저장하는 공식 SDK를 사용한다.

Google AdInline article slot

악성 페이로드는 다음 작업을 수행한다:

  • 시스템 정보 수집: 운영체제, IP 주소, 사용자 이름
  • 탈취한 데이터를 공격자가 통제하는 서버로 전송
  • 리눅스 환경에서는 authorized_keys에 SSH 키를 삽입해 영구적인 접근 권한 확보
  • .env, JSON, 문서 파일을 스캔하며 특히 Polymarket SDK 관련 파일에 집중

피해 영향

이러한 데이터에 접근함으로써 공격자는 API를 통해 거래를 조작하거나 지갑에서 자금을 직접 인출할 수 있다. 봇 계정에는 종종 수십만에서 수백만 달러의 자금이 들어있어 재정적 피해 규모가 크다.

패키지를 제거하더라도 SSH 백도어가 유지되기 때문에 위협은 사라지지 않는다. 비밀번호를 변경해도 공격자는 서버를 계속 제어할 수 있다.

Google AdInline article slot

핵심 요약:

  • 로깅 유틸리티로 위장하지만 Polymarket 인증 정보를 탈취
  • 리눅스 시스템에 SSH 백도어 설치
  • 북한의 라자루스 그룹(Lazarus Group)과 연결된 기법 사용
  • authorized_keys 점검 및 모든 시크릿 즉시 갱신 필요
  • 암호화폐 거래 소프트웨어의 공급망 리스크를 부각

npm 생태계의 광범위한 위협 상황

npm 레지스트리는 여전히 공급망 공격의 주요 표적이며, 2023년부터 2025년까지 DeFi 및 NFT 프로젝트의 인증 정보를 탈취하기 위한 가짜 패키지를 이용한 여러 캠페인이 있었다. 주요 암호화폐 거래소 침투로 유명한 라자루스 그룹은 단기간 존재하는 계정과 코드 난독화 같은 유사한 기법을 자주 사용한다.

선거나 스포츠 같은 현실 세계 사건에 베팅할 수 있는 Polymarket은 고빈도 트레이더들을 끌어모으며, SDK 데이터를 활용해 자동으로 베팅하는 봇들이 많아 공격자에게 매력적인 표적이 된다. 이러한 공격이 성공하는 이유는 npm에 대한 무비판적 신뢰, 하드코딩된 시크릿, 패키지 검증 부족에서 비롯된다.

Google AdInline article slot

보안 권고사항

봇 개발자들은 다층적인 방어 전략을 채택해야 한다:

  • .env 파일 대신 시크릿 매니저 사용
  • Socket 또는 Snyk 같은 도구로 패키지의 난독화 여부 스캔
  • 서버 접근 권한 최소화
  • authorized_keys 및 SSH 로그 정기 모니터링
  • 내장 보안 기능을 갖춘 검증된 SDK로 전환

산업 전체에 미치는 함의

이 사건은 소프트웨어 공급망의 심각한 취약점을 드러낸다. 암호화폐 업계에 있어 이는 더 철저한 감사를 요구하는 경고음이며, 노출된 키는 곧바로 자산 유출로 이어진다. 규제 당국은 EU DORA 기준과 유사하게 패키지 검증 규정을 시행할 가능성이 높다. Polymarket 같은 플랫폼이 SDK 보안을 강화하고 있음에도 불구하고, 개발자가 여전히 가장 취약한 고리다. 최근 추세는 일일 거래량이 1000억 달러를 넘는 DeFi를 중심으로 공격이 증가하고 있음을 보여준다.

— Editorial Team

Advertisement 728x90

다음 읽기