TechFlow 보도에 따르면, 5월 25일 보안 기업 Socket Security는 ‘TrapDoor’라는 암호화폐 탈취형 공급망 공격을 발견했다. 이 공격은 npm, PyPI, Crates.io 등 세 개의 주요 패키지 레지스트리에서 발생했으며, 34개 이상의 악성 패키지와 이와 관련된 384개 버전 및 아티팩트를 포함한다. 공격 대상은 암호화폐, DeFi, Solana, Sui, Move, AI 분야의 개발자들이다.
공격 샘플은 SSH 키, 지갑 데이터, AWS 자격 증명, GitHub 토큰, 브라우저 데이터, 환경 변수 등 민감한 정보를 탈취할 수 있다. 구체적으로 npm 패키지는 postinstall 훅을 통해 공유 페이로드인 trap-core.js를 실행하고, PyPI 패키지는 모듈 임포트 시 원격 JavaScript를 실행하며, Crates.io 패키지는 build.rs를 활용해 로컬 키 저장소를 탈취한다. Socket은 관련 패키지를 전부 악성으로 식별하여 각 소프트웨어 패키지 레지스트리에 신고했다.
즐겨찾기 추가
소셜 미디어 공유
