Edgen Crypto·Sep 12 2025, 05:47
보안 회사 Mosyle은 Windows, Linux 및 macOS 시스템에서 브라우저 기반 암호화폐 지갑에서 자산을 유출하기 위해 안티바이러스 소프트웨어를 우회할 수 있는 새로운 크로스 플랫폼 악성코드인 ModStealer를 식별했습니다.
요약
Apple 장치 관리 및 보안 분야의 선두 기업인 Mosyle은 새로운 크로스 플랫폼 정보 스틸러 악성코드인 ModStealer를 확인했습니다. ModStealer는 전통적인 안티바이러스 탐지를 우회하도록 특별히 설계된 macOS, Windows 및 Linux 환경을 표적으로 합니다. 주요 목표는 암호화폐 지갑, 자격 증명 파일, 구성 세부 정보 및 디지털 인증서에 중점을 둔 민감한 데이터를 외부로 유출하는 것입니다. 이 악성코드는 주로 고가치 디지털 자산을 소유한 개발자를 표적으로 하는 악성 구인 광고를 통해 확산됩니다.
자세한 내용
ModStealer는 VirusTotal에 나타난 이후 거의 한 달 동안 주요 안티바이러스 엔진에 의해 감지되지 않았습니다. 이 악성코드는 개발자를 표적으로 하는 악성 채용 공고를 통해 전달되며, 개발자들이 일반적으로 사용하는 Node.js 환경을 활용합니다. NodeJS로 작성된 고도로 난독화된 JavaScript 파일을 사용하여 작동하며, 이는 시그니처 기반 방어를 회피하는 데 기여합니다. Mosyle의 분석에 따르면, 사전 로드된 코드가 Safari를 포함한 56가지의 다양한 브라우저 지갑 확장 프로그램에서 개인 키 및 민감한 계정 정보를 추출할 수 있습니다. 암호화폐 절도 외에도 ModStealer는 클립보드 캡처, 화면 캡처 및 원격 코드 실행 기능을 포함하여 공격자가 감염된 시스템을 광범위하게 제어할 수 있도록 합니다. macOS에서는 Apple의 launchctl 도구를 악용하여 지속성을 확보하고, 자신을 LaunchAgent로 삽입하여 지속적으로 활동을 모니터링하고 데이터를 원격 서버로 유출합니다. Mosyle은 ModStealer가 **서비스형 악성코드(MaaS)**의 프로필과 일치한다고 제안합니다. 블록체인 보안 회사 Slowmist의 최고 정보 보안 책임자인 Shān Zhang은 ModStealer를 "다중 플랫폼 지원 및 은밀한 '제로 감지' 실행 체인"으로 인해 독특하다고 평가했습니다.
시장 영향
ModStealer의 발견은 디지털 자산 생태계 전반, 특히 브라우저 기반 암호화폐 지갑 사용자에게 보안 위험을 높입니다. 이 악성코드가 주류 안티바이러스 솔루션에 의해 감지되지 않는 능력은 시그니처 기반 보호의 한계를 강조하며, 고급 행동 기반 방어의 필요성을 시사합니다. 개별 사용자에게는 개인 키, 시드 구문 및 거래소 API 키가 손상될 위험이 있으며, 이는 직접적인 자산 손실로 이어질 수 있습니다. 더 넓은 암호화폐 산업의 경우, 브라우저 확장 지갑 데이터의 대량 절도는 대규모 온체인 익스플로잇을 유발하여 신뢰를 저해하고 공급망 위험을 증폭시킬 수 있습니다. 기만적인 구인 광고를 통해 개발자를 표적으로 삼는 것은 소프트웨어 공급망의 중요한 취약점을 강조합니다. 이는 이전에 주간 20억 회 이상의 다운로드를 기록한 패키지에 영향을 미친 NPM 공급망 공격과 같은 중요한 공격에서 악용되었던 벡터입니다. 이 과거 사건은 또한 악성 코드가 브라우저 환경 내에서 Web3 지갑과 동일한 JavaScript 실행 컨텍스트에 접근하여 정교한 거래 조작을 용이하게 할 수 있음을 보여주었습니다.
전문가 의견
Slowmist의 Shān Zhang은 ModStealer가 "더 넓은 디지털 자산 생태계에 상당한 위험을 초래한다"고 말하며, "다중 플랫폼 지원 및 은밀한 '제로 감지' 실행 체인"을 강조했습니다. Zhang은 또한 최종 사용자에게 "개인 키, 시드 구문 및 거래소 API 키가 손상되어 직접적인 자산 손실을 초래할 수 있다"고 경고했습니다. 그는 암호화폐 산업의 경우 "브라우저 확장 지갑 데이터의 대량 절도가 대규모 온체인 익스플로잇을 유발하여 신뢰를 저해하고 공급망 위험을 증폭시킬 수 있다"고 덧붙였습니다. Mosyle은 시그니처 기반 보호만으로는 부족하다고 강조하며, 지속적인 모니터링, 행동 기반 방어 및 새로운 위협에 대한 인식을 옹호했습니다.
더 넓은 맥락
가짜 구인 제안을 사용하여 개발자를 표적으로 삼는 공격 벡터는 이전에 기만적인 AI 플랫폼을 통해 Fickle과 같은 정보 스틸러 악성코드로 Web3 개발자를 표적으로 삼았던 **EncryptHub(일명 LARVA-208 및 Water Gamayun)**와 같은 재정적 동기를 가진 위협 행위자들이 사용했던 전술과 유사합니다. 이러한 그룹은 암호화폐 지갑, 스마트 계약 저장소 및 민감한 테스트 환경에 접근할 수 있기 때문에 Web3 개발자를 표적으로 삼으며, 종종 전통적인 기업 보안 제어 없이 여러 분산형 프로젝트에서 운영됩니다. 이 사건은 고급 난독화, 크로스체인 지원 및 지능형 주소 대체 알고리즘을 결합한 암호화폐 절도 기능의 진화하는 정교함을 강조합니다. 이러한 맥락은 Web3 보안 인식의 중요성과 특히 분산형 금융이 계속 성장함에 따라 암호화폐 애플리케이션과 상호 작용할 때 사전 예방적 피싱 보호 및 Wallet Guard와 같은 거래 분석 도구를 포함한 강력한 보안 조치의 필요성을 강조합니다.
