악성 소프트웨어, 암호화폐 거래소 공격, 사용자 지갑 손상
연구원들은 npm 및 PyPI 저장소에서 dYdX 암호화폐 거래소 사용자 및 개발자로부터 지갑 자격 증명을 훔치는 악성 패키지를 발견했으며, 이는 되돌릴 수 없는 암호화폐 도난으로 이어졌다고 보안 회사 Socket의 보고서에 따르면 밝혔다. "dydxprotocolv4-client-js" 버전을 포함한 손상된 패키지는 이를 사용하는 모든 애플리케이션을 위험에 빠뜨렸다. 이 공격은 디지털 자산에 대한 증가하는 위협과 강력한 보안 조치의 중요성을 강조한다.
Socket이 상세히 설명한 바와 같이, 이 공격은 오픈 소스 패키지에 악성 코드를 주입하는 방식으로 이루어졌다. 이 코드는 공격자가 지갑 자격 증명을 훔칠 수 있게 하여 사용자의 암호화폐 보유에 대한 완전한 제어를 가능하게 할 수 있었다. 공격 범위에는 실제 자격 증명으로 테스트하는 개발자와 dYdX 플랫폼의 최종 사용자가 모두 포함되었다. 해당 회사는 영향을 받은 정확한 사용자 수를 밝히지 않았다.
이 사건은 암호화폐 생태계가 공급망 공격에 얼마나 취약한지를 보여준다. VentureBeat의 보도에 따르면, 유사한 공격 체인은 LinkedIn의 겉보기에 합법적인 메시지로 시작될 수 있으며, GitHub 개인 액세스 토큰 및 AWS API 키를 포함한 민감한 클라우드 자격 증명을 유출하는 악성 패키지의 설치로 이어진다. 이 "ID 및 액세스 관리(IAM) 피벗"은 몇 분 안에 적대자에게 클라우드 환경에 대한 액세스 권한을 부여할 수 있다.
이 공격 소식은 암호화폐 시장의 변동성이 큰 시기에 나왔다. Fortune에 따르면 비트코인은 코인당 65,900달러로 소폭 상승했지만, 전반적인 추세는 부정적이었다. 비트코인은 2025년 10월 최고점에서 50% 하락했다. Michael Saylor의 비트코인 재무 회사인 Strategy의 주가는 어제 17% 하락했으며, 작년 최고점에서 75% 하락했다.
다른 소식으로, 국무부는 2025년 1월 20일 트럼프 대통령이 재임하기 전에 소셜 미디어 플랫폼 X의 공개 계정에 게시된 모든 게시물을 삭제할 것이라고 NPR에 따르면 발표했다. 해당 게시물은 내부적으로 보관되며, 접근을 원하는 사람은 정보 공개 요청을 제출해야 한다.
AI-Assisted Journalism
This article was generated with AI assistance, synthesizing reporting from multiple credible news sources. Our editorial team reviews AI-generated content for accuracy.
AI 심층 분석
관련 기사 더보기
Discussion
AI 전문가 & 커뮤니티
첫 댓글을 남겨보세요