북한과 연계된 해커 조직 라자루스 그룹(Lazarus Group)이 JavaScript 패키지 매니저인 npm에
새로운 악성 패키지를 심어 개발자들을 노리고 있습니다. 🕵️♂️💀
미국 보안업체 Socket의 연구진은 라자루스 그룹이 6개의 악성 npm 패키지를 배포해
소프트웨어 개발자의 시스템을 감염시키고, 백도어를 설치하여 암호화폐 지갑 정보를
탈취하고 있다고 경고했습니다.
🔎 주요 내용:
- 악성 npm 패키지: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator,
react-event-dependency, auth-validator - 암호화폐 지갑 정보 탈취 (Solana 및 Exodus 지갑)
- 백도어 설치 및 장기적 접근 유지
- 타이포스쿼팅(Typosquatting) 기법 활용해 인기 npm 패키지인 것처럼 위장
🚨 개발자 여러분, npm 패키지 설치 시 주의하세요! 🚨
🔍 라자루스 그룹의 새로운 공격 방식
라자루스 그룹은 npm에서 널리 사용되는 신뢰할 수 있는 라이브러리의 이름과 유사한 패키지를 만들어
개발자들이 실수로 다운로드하도록 유도하고 있습니다.
이를 타이포스쿼팅(Typosquatting) 기법이라고 합니다.
🛑 이번에 발견된 악성 npm 패키지 목록:
- is-buffer-validator
- yoojae-validator
- event-handle-package
- array-empty-validator
- react-event-dependency
- auth-validator
💡 예시:
- is-buffer-validator → 인기 npm 라이브러리인 is-buffer와 유사
- react-event-dependency → react 기반 패키지처럼 보이게 제작
이렇게 정상적인 라이브러리처럼 보이도록 위장하여 개발자가 쉽게 속을 수 있도록 설계되었습니다. 😱
🐍 BeaverTail 악성코드란? (Lazarus가 사용하는 백도어)
라자루스 그룹은 이번 공격에서 BeaverTail이라는 악성코드를 사용했습니다.
이 악성코드는 설치된 개발자의 시스템에서 다양한 민감한 정보를 수집하고
원격 제어를 가능하게 하는 백도어 역할을 합니다.
💀 BeaverTail 악성코드 기능:
✅ 멀티 스테이지 페이로드 실행 – 단계적으로 악성코드 설치
✅ 시스템 환경 정보 수집 – 감염된 시스템 분석
✅ 로그인 파일 및 키체인 탈취 – 암호 및 보안 인증 정보 유출
✅ 암호화폐 지갑 정보 추출 – Solana(id.json), Exodus(exodus.wallet) 지갑 데이터 탈취
✅ C2(Command & Control) 서버와 연결 – 원격에서 공격자가 추가 명령 실행
이 악성코드는 라자루스가 이전에 사용했던 기술과 매우 유사하며,
피해자를 장기간 감시하고 추가적인 악성 행위를 실행할 수 있도록 설계되었습니다.
🔥 라자루스의 주요 해킹 기록
🚨 라자루스 그룹은 북한 정부의 지원을 받는 해커 조직으로,
전 세계 금융기관과 암호화폐 거래소를 지속적으로 공격하고 있습니다.
📅 2024년 2월:
- ByBit 암호화폐 거래소에서 14억 6천만 달러(약 1.9조 원) 탈취 – 역대 최대 금융 해킹 기록 갱신
📅 이전 주요 해킹 사건:
- 2014년 소니 픽처스 해킹 사건
- 2016년 방글라데시 중앙은행 해킹 (8100만 달러 탈취)
- 2017년 워너크라이(WannaCry) 랜섬웨어 유포
- 2023년 다수의 암호화폐 거래소 공격
🛡️ 개발자가 해야 할 보안 조치 (필독!)
🔐 1. npm 패키지 설치 시 주의할 점
✅ npm 패키지를 설치할 때 공식 소스(GitHub 및 npm 레지스트리)에서 최신 정보 확인
✅ 신뢰할 수 있는 라이브러리인지 패키지 다운로드 수 및 업데이트 기록 확인
✅ package.json의 dependencies 목록을 정기적으로 점검
💻 2. 시스템 보안 강화
✅ npm 설치 시 --ignore-scripts 옵션 사용 (자동 실행되는 악성 스크립트 방지)
✅ 백신 및 EDR 솔루션 설치 – 악성코드 실시간 탐지
✅ 암호화폐 지갑 보안 강화 – 지갑 데이터를 클라우드 저장 금지
🛑 3. 의심되는 패키지 사용 시 즉시 제거
npm uninstall is-buffer-validator
npm uninstall yoojae-validator
npm uninstall event-handle-package
npm uninstall array-empty-validator
npm uninstall react-event-dependency
npm uninstall auth-validator이후, 시스템에서 npm 캐시도 삭제해야 합니다.
npm cache clean --force📢 결론: npm 패키지, 이제는 신중하게 설치해야 합니다!
🔴 라자루스 그룹은 npm 패키지를 이용한 공격을 지속적으로 강화하고 있습니다.
📌 개발자는 npm 패키지를 설치하기 전에 항상 패키지의 출처를 확인하고,
신뢰할 수 없는 패키지는 즉시 삭제해야 합니다.
💡 보안 사고를 예방하려면 npm 패키지 관리와 시스템 보안을 철저히 유지해야 합니다!
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🚨 북한 해커 조직, 안드로이드 앱으로 사용자 정보 수집! KoSpy 스파이웨어 발견 📱🔍 (3) | 2025.03.13 |
|---|---|
| 🚀 멀티 스테이지 페이로드(Multi-Stage Payload) 기법이란? 🛠️💀 (2) | 2025.03.13 |
| 🚨 Microsoft, 6개의 제로데이 포함 57개 보안 취약점 패치 발표! 🔥🛡️ (0) | 2025.03.13 |
| 🚨 Apple, 3개월 만에 또 긴급 패치! WebKit 제로데이 취약점 CVE-2025-24201 발견 🍏💀 (1) | 2025.03.13 |
| ✨ 중국 해커 그룹, Juniper 네트워크 라우터 해킹! 🚫🛡️ (0) | 2025.03.13 |