Home > 전체기사
인기 높은 자바스크립트 라이브러리 남용 통한 암호화폐 채굴
  |  입력 : 2018-11-28 13:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자바스크립트 라이브러리인 이벤트스트림, 암호화폐 채굴 코드 운반
원 제작자가 9월 관리권한을 누군가와 공유한 시점에서부터 잘못되기 시작


[보안뉴스 문가용 기자] 인기 높은 라이브러리를 악용한 암호화폐 채굴 공격이 발견됐다. 이 공격에 연루된 라이브러리는 인기가 높은 이벤트스트림 노드(EventStream Node.js)라는 것으로, 공격자들은 이 라이브러리를 사용해 암호화폐 채굴 코드를 다운로드 및 설치한다고 한다.

[이미지 = iclickart]


이벤트스트림 라이브러리는 스트림 관련 작업을 보다 쉽게 할 수 있도록 고안된 자바스크립트 패키지 툴킷으로, 일주일에 약 2백만 번의 다운로드 횟수를 기록하고 있다. 이렇게 인기가 많다는 건 애플리케이션 개발자들에게는 물론 악성 행위자들에게도 중요한 디지털 자원이라는 의미가 된다.

이벤트스트림은 도미닉 타르(Dominic Tarr)라는 개발자가 만든 것인데, 타르 본인은 이 라이브러리를 이미 수년 째 사용하지 않고 있다고 말한다. 즉 이벤트스트림의 조작에 타르 본인이 개입되어 있을 수 있는 가능성을 일찌감치 제한 것이다. 하지만 2018년 9월 라이브러리를 누군가에게 전송한 적은 있다고 한다. 이 인물은 라이브러리의 의존성을 변경했고, 이것이 결국 악성 코드 다운로드로까지 이어진 것이라고 분석된다.

외신에 의하면 “도미닉 타르는 지난 9월, 이벤트스트림 라이브러리를 라이트나인컨트롤(right9ctrl)에 넘겼고, 라이트나인컨트롤은 그 달 9일 플랫맵스트림(flatmap-stream)이라는 라이브러리를 이벤트스트림 라이브러리 의존성에 추가했다”고 한다. “하지만 그 달 16일 새로운 버전의 이벤트스트림이 나오면서 해당 플랫맵스트림은 제거됐다”고 한다.

그런데 10월 5일 NPM 사용자인 휴지글래스(hugeglass)라는 인물이 플랫맵스트림 0.1.1 버전을 푸시했다. 이 속에는 악성 코드가 난독화 처리되어 삽입되어 있었다. package.jason의 설명 부분에 특정 값이 존재할 경우 악성 페이로드가 복호화 되어 활성화되는 메커니즘이었다. 페이로드는 암호화폐 지갑에서 키들을 탈취하는 것을 그 목적으로 하고 있었다.

이번 공격에서 주로 표적이 된 암호화폐는 비트코인이고, 노려진 지갑은 대시 코페이 비트코인(Dash Copay Bitcoin)이다. 대시 코페이 비트코인은 오픈소스, 멀티플랫폼, 멀티시그니처, 보안 비트코인 전용 지갑이며, 이를 노리는 악성 코드는 지갑 앱이 사용되는 환경에서만 발동한다.

“현재까지 악성 코드는 코페이 및 비트페이(BitPay) 앱 5.0.2~5.1.0 버전에서만 작동하는 것으로 알려져 있습니다. 하지만 비트페이 앱은 악성 코드에 취약하지 않은 모습을 보여주었습니다. 지금은 코페이 사용자들에게 이 코드의 취약점을 통한 공격이 직접 감행된 적이 있는지 조사 중에 있습니다.” 비트페이 팀이 블로그를 통해 알린 내용이다.

결국 이번 사고는 라이브러리의 원 관리자가 해당 라이브러리를 다른 사람에게 넘긴 것에서부터 시작됐다고 볼 수 있다. 그 과정에서 코드 무결성 확인을 확실하게 하지 않았을 가능성이 높다. 라이트나인컨트롤 역시 라이브러리에 새로운 의존성을 추가하거나 빼면서 꼼꼼한 확인을 하지 않을 것으로 보인다.

버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 CTO 케이시 엘리스(Casey Ellis)는 이번 사건에 대해 “현대 소프트웨어 생태계가 가진 구조적인 문제를 고스란히 드러냈다”고 평한다. “코드가 공유되는 일이 빈번한 게 요즘의 흐름입니다. 이런 환경 속에서 ‘내가 만든 코드’가 안전하다고 해서, 그걸 가지고 추가 개발하는 다른 사람들도 그 안전함을 유지할 거라고 볼 수 없습니다.”

그러면서 엘리스는 “이 문제에 대한 근본적인 해결책은 코드 남용 사례에 대한 심층 분석 및 지속 분석을 꾸준하게 진행하는 것”이라고 말한다. “인기가 높은 라이브러리나 코드 레포지토리가 공격을 당한 게 이번이 처음이 아닙니다. 해커들은 인기 높은 오픈소스 요소들에 교묘하게 악성 코드를 삽입해 유통시키기 시작했어요. 내가 사용하는 코드의 점검이 반드시 이뤄져야 하는 때입니다.”

3줄 요약
1. 이벤트스트림이라는 인기 높은 자바스크립트 라이브러리, 누군가 남용해 암호화폐 채굴 코드 퍼트리기 시작.
2. 이벤트스트림 최초 제작자가 지난 9월 누군가에게 관리 권한 넘긴 바 있음.
3. 오픈소스 코드는 최초 개발자만 잘 관리하는 게 아니라, 유통 과정 모든 부분에서 철저한 보호가 이뤄져야 한다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향