October 31, 2024
10월 30일, 여러 주요 암호화폐 플랫폼에서 사용자들에게 암호화폐 지갑 연결을 유도하는 위험한 팝업이 급증하는 현상이 관찰되었습니다.
공격 방식은 수백만명 이상의 유저와 약 250,000 이상의 기업이 사용하는 웹사이트 애니메이션 라이브러리인 LottieFiles를 실행시키는 웹 플러그인 Lottie Players의 공급망 공격에서 비롯되었습니다.
이 JavaScript 라이브러리는 Apple, Spotify, Disney와 같은 대형 웹사이트에서도 사용되며, 탈중앙화 금융(DeFi) 프로젝트인 1inch와 TEN Finance를 표적으로 하는 암호화폐 유출 팝업을 포함하도록 조작되었습니다.
공급망 침해의 세부 사항 공격자는 로티파일즈(LottieFiles)의 GitHub 계정을 침해했으며, 이를 위해 선임 소프트웨어 엔지니어의 인증 정보를 탈취했습니다. 이후 세 차례의 업데이트에 악성코드를 포함해 빠르게 배포하였습니다.
따라서, 로티 플레이어의 침해된 버전을 포함한 모든 사이트나 앱은 Ace Drainer 암호화폐 유출 팝업을 통해 사용자들에게 계속해서 팝업을 띄웠습니다. 이 접근법은 이전의 방법들과 달리, 사용자가 신뢰하는 암호화폐 애플리케이션을 통해 광고 형식으로 사용자에게 제공되었으며, 다른 앱에서 피싱 링크를 보내는 대신 이 방식을 사용했습니다.
만약 브라우저에 사용하는 암호화폐 거래소의 로그인 정보가 저장되어있다면 실수나 습관적으로 팝업을 통한 클릭 한번으로 사용하시는 암호화폐 구좌가 소진되고 암호화폐의 특성상 거래중지 요청이나 보호를 받지 못하는 심각한 문제를 초래할 수 있습니다.
업계 반응 및 보안 권고 공격이 발견되자, 로티파일즈는 악성 업데이트를 삭제하고, 애플리케이션 개발자들에게 안전한 2.0.4 버전이나 최신 2.0.8 버전으로 업데이트할 것을 권장했습니다. 로티파일즈의 엔지니어링 부사장 자위시 하미드는 해당 버전이 GitHub 저장소에서 제거되었음을 확인했습니다.
사이버 보안 회사인 Wiz와 Blockaid는 여전히 사용자가 경계심을 놓지 말 것을 당부하며, 일부 암호화폐 웹사이트에서는 여전히 악성 팝업이 나타날 수 있다고 경고했습니다.
최근 신뢰할 수 있는 SLP(Service Location Protocol)의 활용이 증가하면서 공격자들이 이를 점점 더 많이 악용하고 있습니다.