안전 경고: 30개의 악성 npm 패키지가 거래 봇 저장소로 위장하여 개발자 키와 니모닉을 표적 삼아 도용함
슬로우미스트(SlowMist)는 보안 경고를 발표하며, 협동 악성 npm 공급망 공격을 모니터링하고 있습니다. 공격자는 가짜 거래 봇 저장소와 DeFi 주제 npm 패키지를 이용해 JavaScript 정보 탈취기를 배포하였으며, 목표는 npm 사용자, DeFi 개발자 및 거래 봇 사용자입니다.
이번 공격에는 30개의 악성 npm 패키지가 포함되어 있으며, stake-math@3.5.4가 donoaccestag/forex-mt5-trading-bot 저장소에 잠금 종속 항목으로 나타납니다. 이 저장소는 약 2300개의 고도로 동질화된 대량 생성 포크를 보여주며, 대부분은 poly-stocks 계정 아래에 집중되어 있습니다. 신호는 매우 명확합니다. 공격자가 탈취할 수 있는 민감한 데이터의 범위는 매우 넓으며, 여기에는 암호화 지갑 라이브러리, 브라우저 쿠키 및 저장된 비밀번호, 브라우징 기록, 개발자 자격 증명, 셸 기록, 비밀번호 관리자 라이브러리, 개인 키, 니모닉 및 소스 코드에 노출된 API 토큰이 포함됩니다.
슬로우미스트는 개발자에게 즉시 영향을 받는 npm 패키지를 제거하고, package.json 및 package-lock.json과 CI 로그에서 30개의 악성 패키지 중 하나가 포함되어 있는지 감사할 것을 권장합니다. npm install을 실행한 시스템은 침해되었을 가능성이 있으므로, 모든 노출된 지갑, 개인 키, npm 토큰, 클라우드 자격 증명, SSH 키 및 API 토큰을 교체하고, 깨끗한 이미지에서 영향을 받은 환경을 재구성해야 합니다.






