악성 PyPI 파이썬 패키지 451개가 암호화폐 거래 탈취 목적으로 악성 브라우저 확장 프로그램을 설치한 사실이 확인됐다.
사이버 보안 전문 매체 블리핑컴퓨터는 악성 확장 프로그램 설치가 지난해 11월, 초기 27가지 악성 악성 PyPI 파이썬 패키지를 통해 시작됐다고 전했다. 그러나 수개월 사이에 암호화폐 지갑과 웹사이트를 통해 암호화폐를 탈취할 악성 브라우저 확장 프로그램을 설치한 파이썬 패키지 수가 수백 개로 급격히 증가하였다.
악성 브라우저 확장 프로그램은 유명 패키지로 위장하여 일부 특성을 변경하거나 교체하면서 소프트웨어 개발자의 설치를 유도했다.
악성 패키지는 %AppData%\Extension 폴더에 크롬 브라우저 확장 프로그램을 생성한 뒤 구글 크롬과 마이크로소프트 엣지, 브레이브, 오페라 등과 관련된 윈도 바로가기를 검색한 뒤 이를 가로채 '--load-extension' 명령줄 인수를 사용하여 악성 브라우저 확장 프로그램을 실행한다.
웹 브라우저가 시작되면, 확장 프로그램이 실행된다. 그리고 악성 자바스크립트가 윈도 클립보드에 복사된 암호화폐 주소가 있는지 모니터링 작업을 실행한다. 암호화폐 주소를 탐지하면, 브라우저 확장 프로그램은 해당 주소를 위협 행위자가 제어하는 하드코딩된 주소 집합으로 대체한다. 이후 피해자가 이체하고자 한 암호화폐 거래 금액은 이체를 원했던 지갑이 아닌 공격 세력의 지갑으로 전달된다.
이번 문제를 최초로 발견한 사이버 보안 연구 기업 파이럼(Phylum) 연구팀은 공격 세력이 최근 들어 함수와 변수 명칭에 16bit의 중국어 표의 문자를 사용한 사실도 확인했다. 이는 위협 탐지를 피하기 위한 의도로 보인다.
한편, 파이럼은 공격 세력이 이번 공격으로 비트코인(Bitcoin, BTC)과 이더리움(Ethereum, ETH), 트론(TRON), 바이낸스 체인(Binance Chain), 라이트코인(Litecoin, LTC), 리플(Ripple, XRP), 대시(Dash), 비트코인캐시(Bitcoin Cash, BCH), 코스모스(Cosmos, ATOM) 지갑 등을 노린 사실을 확인했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
