🤖 새로운 OSS 공급망 공격의 등장: "패치로 위장한 감염자"

요즘은 오픈소스 소프트웨어(OSS)를 활용하는 개발자들이 참 많죠.
npm, PyPI, GitHub 등에서 필요한 패키지를 설치하고 빠르게 개발 환경을 꾸리는 게 일상입니다.
하지만 '편리함' 뒤에 도사리는 함정, 최근에 더 교묘해지고 있다는 사실, 알고 계셨나요? 🤔

최근 ReversingLabs 연구진이 발견한 사례는 기존의 오픈소스 악성코드 삽입 기법보다 훨씬 더 교묘하고,
지속적인 피해를 유발할 수 있는 Trojanized Patch 방식이었습니다.

---

🧨 'pdf-to-office'라는 패키지의 정체는?

지난달 npm에 등장한 'pdf-to-office'라는 이름의 패키지.
겉보기엔 PDF를 오피스 문서로 변환해주는 생산성 도구처럼 보였어요.

그런데 알고 보니 이 패키지는 그런 기능은 커녕, 실행 시 obfuscated(난독화된) JavaScript 파일인 pdftodoc을 실행해
Atomic 또는 Exodus라는 유명 암호화폐 지갑 앱이 설치되어 있는지를 탐지하고,
지갑 앱 내부의 특정 파일을 악성 코드로 교체해버리는 기법을 사용했답니다. 😱

---

🧬 교체된 파일은 똑같이 작동하지만, 단 하나만 다르다?

놀랍게도 교체된 파일은 원래 파일과 기능이 거의 동일해서 사용자가 이상을 느끼기 어렵습니다.
딱 하나 다른 점은?
👉 지갑에서 송금하는 주소를 공격자의 주소로 슬쩍 바꿔치기 한다는 점이에요. 🙈

---

📌 악성 패치의 위험한 특성

이 공격 기법은 기존의 오픈소스 악성 패키지보다 훨씬 은밀하고 지속적인 위협을 줍니다.

기존 악성 패키지	Trojanized Patch 기법
패키지 자체에 백도어 삽입	기존에 설치된 정상 앱을 감염시킴
패키지 삭제 시 공격 중단	패키지를 삭제해도 감염 지속
다운로드 수 적고 생존 짧음	오랜 시간 은닉 가능

즉, 사용자는 pdf-to-office 같은 패키지를 삭제했다 하더라도,
암호화폐 지갑 앱은 이미 감염된 상태로 남아있어 피해가 계속될 수 있다는 뜻이에요. 😨

---

🔥 또 다른 악성 패키지들: ethers-providerz, ethers-provider2

pdf-to-office만 있는 게 아니에요.
ReversingLabs는 이더리움 개발자들이 자주 사용하는 'ethers' 라이브러리를 타깃으로 하는 악성 패키지도 발견했어요.

이 패키지들은 ethers 라이브러리에 역방향 쉘(reverse shell)을 삽입해,
공격자가 피해자의 시스템에 원격 접근할 수 있도록 했습니다.
💻 즉, 마치 백도어처럼 사용자의 시스템을 통째로 노리는 방식이었죠.

---

🧠 왜 이런 공격이 더 위험한 걸까?

이런 Trojanized Patch 방식은 다음과 같은 이유로 더욱 위험합니다.

• 사용자가 이미 신뢰하는 소프트웨어를 감염시킴
• 의심받지 않고 오래 유지될 수 있음
• 제거가 어려움 → 완전 제거하려면 원래 앱도 삭제 후 재설치해야 함
• 실제 기능이 유지되기 때문에 피해자가 감염을 눈치채기 어렵다

---

🛡️ 우리는 어떻게 방어할 수 있을까?

이런 새로운 방식의 오픈소스 악성 공격에 대응하려면 다음과 같은 보안 수칙이 필수예요!

✅ 패키지 설치 시 체크리스트

1. 커뮤니티 평판 확인 – 다운로드 수, GitHub 활동, 댓글 등을 확인하세요.
2. 파일 크기 및 버전 이력 분석 – 버전이 몇 개 없고 용량이 지나치게 크다면 의심해봐야 해요.
3. 직접 실행하지 말고 먼저 코드 리뷰 – npm 패키지는 설치 전 tarball로 코드 확인 가능.
4. 중요 앱은 별도 환경에서 실행 – 암호화폐 지갑, 결제 앱 등은 샌드박스 환경에서 격리 실행이 좋아요.
5. 정기적으로 앱 무결성 점검 – hash 비교 등으로 정식 앱인지 확인할 수 있어요.

---

📢 마무리 한마디

편리한 오픈소스, 하지만 그 안에도 위협이 숨어있을 수 있어요.
특히 이미 설치된 앱을 교묘히 감염시키는 이 Trojanized Patch 기법은 더더욱 주의가 필요합니다.
개발자든 일반 사용자든, 보안 감수성을 높이고 꼼꼼한 검증 습관을 가지는 것이 무엇보다 중요하겠죠?