슬로미스트, 깃허브 솔라나 펌프펀 봇에서 지갑 도난 악성코드 발견

블록체인 보안업체 슬로미스트가 깃허브 플랫폼에서 널리 사용되는 오픈소스 프로젝트 "솔라나-펌프펀-봇"에 사용자 지갑에서 암호화폐를 훔치는 코드가 포함되어 있다고 밝혔다.

3일(현지시간) 크립토폴리탄에 따르면, 조사는 2025년 7월 2일에 시작됐다. 피해자가 슬로미스트(SlowMist) 보안팀에 연락해 자신의 지갑 자산 도난 이유 분석에 도움을 요청했다. 사건은 그가 전날 깃허브(GitHub)에 호스팅된 오픈소스 프로젝트를 사용한 것이 원인이었으며, 암호화 자산이 도난당했다. 슬로미스트는 도난당한 자금이 픽스드플로트(FixedFloat) 거래소로 이전되고 있다고 밝혔다.

프로젝트 작성자가 주요 용의자다. 공격을 실행하기 위해 해커는 공식 오픈소스 프로젝트(solana-pumpfun-bot)인 것처럼 가장해 사람들이 악성 코드를 다운로드하고 실행하게 했다. 조사 과정에서 "crypto-layout-utils"라는 의심스러운 종속 패키지가 공식 NPM 소스에서 제거된 것이 발견됐다.

해커는 이후 원본 다운로드 URL 대신 악성 버전의 소프트웨어를 업로드했다. 피해자의 PC에서 지갑 관련 파일을 검색한 후 공격자가 통제하는 서버로 민감한 데이터를 전송했다.

조사에서는 또한 프로젝트 작성자가 여러 깃허브 계정을 통제하고 있는 것으로 의심된다고 밝혔다. 이들은 악성 프로젝트를 포크하고, 악성 프로그램을 배포하며, 프로젝트의 인기를 인위적으로 부풀리는 데 사용됐다. 유사한 악성 행동을 보이는 여러 포크 프로젝트가 식별됐으며, 일부는 "bs58-encrypt-utils"라는 또 다른 악성 패키지를 사용했다.

전체 공격 체인은 여러 깃허브 계정이 함께 작동하는 것을 포함한다. 이는 유포 범위를 확대하고, 신뢰성을 높였으며, 극도로 기만적이다. 동시에 이 공격은 사회 공학과 기술적 수단을 모두 사용했으며, 조직 내에서 완전히 방어하기 어렵다.

악성 활동은 2025년 6월 12일에 시작된 것으로 추정된다. 이때 공격자가 악성 패키지 "bs58-encrypt-utils"를 만들었다.

암호화폐 해킹은 크게 발전하지 않았지만 더욱 교묘해졌다. 슬로미스트의 운영 책임자 리사(Lisa)는 회사의 2분기 미스트트랙 도난 자금 분석 보고서에서 해킹 기법의 발전은 보지 못했지만 사기가 더욱 정교해졌다고 말했다.

가짜 브라우저 확장 프로그램, 조작된 하드웨어 지갑, 사회 공학 공격이 증가하고 있다. 리사는 "순전히 온체인 공격에서 오프체인 진입점으로의 명확한 전환을 보고 있다. 브라우저 확장 프로그램, 소셜 미디어 계정, 인증 플로우, 사용자 행동이 모두 일반적인 공격 표면이 되고 있다"고 말했다.

예를 들어, 공격자들은 사용자들이 노션(Notion)이나 줌(Zoom) 같은 잘 알려진 일반적으로 사용되는 웹사이트를 방문하도록 유도한다. 사용자가 이러한 공식 사이트에서 소프트웨어를 다운로드하려고 할 때, 전달되는 파일은 이미 악성으로 교체되어 있다.

또 다른 방법은 해커들이 사용자에게 손상된 콜드 지갑을 보내는 것이다. 그들은 피해자들에게 "추첨" 하에서 무료 장치를 얻었다고 말하거나 기존 장치가 손상되어 자산을 이전해야 한다고 말한다. 더 나아가 해커들은 가짜 웹사이트를 도입했다.

최종 타격은 보통 조작이다. 리사는 "공격자들은 '위험한 서명 감지됨'과 같은 문구가 패닉을 유발하여 사용자들이 성급한 행동을 취하게 할 수 있다는 것을 안다. 그 감정적 상태가 유발되면, 평상시에는 하지 않을 일들을 하도록 조작하기가 훨씬 쉬워진다. 링크를 클릭하거나 민감한 정보를 공유하는 것 같은"이라고 말했다.

다른 공격들은 이더리움 펙트라(Ethereum Pectra) 최신 버전에 추가된 EIP-7702를 이용한 해킹 방법을 사용했다. 또 다른 공격은 여러 위챗(WeChat) 사용자의 계정을 탈취하고 이들을 표적으로 삼았다. 슬로미스트에 따르면, 이더리움은 2025년 상반기 보안 손실에서 모든 생태계를 이끌었으며, 디파이(DeFi) 플랫폼은 약 4억7000만 달러의 손실을 입었다.