저자: 생각하다
편집자: 리즈
배경 개요
2025년 7월 2일, 한 피해자가 자신의 지갑 자산이 도난당한 이유를 분석하기 위해 SlowMist 보안팀에 연락했습니다. 이 사건은 피해자가 전날 GitHub에 호스팅된 오픈소스 프로젝트인 zldp2002/solana-pumpfun-bot을 사용하면서 발생했으며, 이후 암호화된 자산이 도난당했습니다.
분석 과정
저희는 즉시 사고 조사를 시작했습니다. 먼저 해당 프로젝트의 GitHub 저장소(https://github.com/zldp2002/solana-pumpfun-bot)를 방문했는데, 별점과 포크 수가 비교적 높은 것을 확인할 수 있었습니다. 하지만 각 디렉터리의 코드 제출 시간은 지난 3주에 집중되어 있었습니다. 이는 명백히 비정상적이며, 일반적인 프로젝트에서 갖춰야 할 지속적인 업데이트 추적 기능이 부족합니다.
이 프로젝트는 Node.js 기반입니다. 먼저 종속 패키지를 분석한 결과, crypto-layout-utils라는 타사 패키지를 참조하고 있음을 발견했습니다.
추가 확인 결과, 해당 종속성 패키지가 NPM에서 공식적으로 제거되었으며, package.json 파일에 명시된 버전이 공식 NPM 기록에 나타나지 않는 것으로 확인되었습니다. 저희는 해당 패키지가 의심스러운 구성 요소이며 공식 NPM 소스에서 더 이상 다운로드할 수 없다고 판단했습니다. 그렇다면 피해자는 어떻게 이 악성 종속성을 얻었을까요?
프로젝트를 더욱 깊이 파헤쳐본 결과, package-lock.json 파일에서 중요한 단서를 발견했습니다. 공격자가 crypto-layout-utils의 다운로드 링크를 https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz로 바꿔치기한 것입니다.
우리는 의심스러운 종속성 패키지인 crypto-layout-utils-1.3.1을 다운로드했고, 이 패키지가 jsjiami.com.v7을 사용하는 매우 난독화된 코드라는 것을 발견했습니다. 이로 인해 분석이 더욱 어려워졌습니다.
난독화 해제 후, 해당 패키지가 악성 NPM 패키지임을 확인했습니다. 공격자는 crypto-layout-utils-1.3.1에서 피해자의 컴퓨터 파일을 검사하는 로직을 구현했습니다. 지갑이나 개인 키와 관련된 콘텐츠나 파일이 발견되면 공격자가 제어하는 서버(githubshadow.xyz)에 업로드됩니다.
악성 NPM 패키지가 중요한 파일과 디렉터리를 검사합니다.
악성 NPM 패키지는 개인 키가 포함된 콘텐츠나 파일을 업로드합니다.
저희는 공격 방법을 계속 탐색하고 있습니다. 프로젝트 작성자(https://github.com/zldp2002/)는 여러 GitHub 계정을 관리하고 있으며, 이 계정들은 악성 프로젝트를 포크하고 악성 프로그램을 배포하는 데 사용되는 것으로 의심됩니다. 동시에, 더 많은 사용자의 관심을 끌기 위해 프로젝트의 포크 및 스타 수를 늘려 악성 프로그램의 배포 범위를 확대하고 있습니다.
또한 우리는 유사한 악성 행동을 보이는 여러 Fork 프로젝트를 발견했는데, 그 중 일부는 또 다른 악성 패키지인 bs58-encrypt-utils-1.0.3을 사용했습니다.
악성 패키지는 2025년 6월 12일에 생성되었습니다. 공격자는 이 시점에 이미 악성 NPM 및 악성 Node.js 프로젝트를 배포하기 시작한 것으로 추정됩니다. 그러나 NPM이 bs58-encrypt-utils를 제거한 후, 공격자는 NPM 패키지 다운로드 링크를 변경하여 배포했습니다.
또한, 우리는 체인상 자금세탁 방지 및 추적 도구인 MistTrack을 사용하여 분석한 결과, 공격자 주소 중 하나가 코인을 훔친 후 해당 자금을 거래 플랫폼 FixedFloat로 이체한 것을 발견했습니다.
요약하다
이 공격에서 공격자는 합법적인 오픈소스 프로젝트(solana-pumpfun-bot)로 위장하여 사용자들이 악성 코드를 다운로드하고 실행하도록 유도했습니다. 해당 프로젝트의 인기를 끌어올리겠다는 명분 아래, 사용자들은 악성 종속성을 포함한 Node.js 프로젝트를 아무런 경고 없이 실행하여 지갑 개인 키 유출 및 자산 도난을 초래했습니다.
전체 공격 체인에는 여러 GitHub 계정이 연동되어 있어 유포 범위가 확대되고 신뢰도가 높아지며, 매우 기만적입니다. 동시에 이러한 유형의 공격은 사회 공학적 기법과 기술적 수단을 모두 사용하며, 조직 내에서 완벽하게 방어하기는 어렵습니다.
개발자와 사용자는 특히 지갑이나 개인 키 작업과 관련된 알려지지 않은 GitHub 프로젝트에 대해 각별한 주의를 기울이시기를 권장합니다. 실행 및 디버깅이 꼭 필요한 경우, 민감한 데이터가 없는 독립적인 머신 환경에서 실행 및 디버깅하는 것이 좋습니다.
악성 종속성 패키지에 대한 정보
악성 Node.js 프로젝트의 GitHub 저장소:
2723799947qq2022/솔라나-펌프펀-봇
2kwkkk/솔라나-펌프펀-봇
790659193qqch/solana-pumpfun-bot
7arlystar/solana-pumpfun-bot
918715c83/솔라나-펌프펀-봇
AmirhBeigi7zch6f/solana-pumpfun-bot
asmaamohamed0264/solana-pumpfun-bot
bog-us/solana-pumpfun-bot
edparker89/solana-pumpfun-bot
ii4272/solana-pumpfun-bot
ijtye/solana-pumpfun-bot
iwanjunaids/solana-pumpfun-bot
잔말레체/솔라나-펌프펀-봇
kay2x4/solana-pumpfun-bot
lan666as2dfur/solana-pumpfun-bot
loveccat/solana-pumpfun-bot
루크그리아/솔라나-펌프펀-봇
mdemetrial26rvk9w/solana-pumpfun-bot
우멩와스/솔라나-펌프펀-봇
pangxingwaxg/solana-pumpfun-bot
Rain-Rave5/solana-pumpfun-bot
wc64561673347375/solana-pumpfun-bot
wj6942/solana-pumpfun-bot
xnaotutu77765/solana-pumpfun-bot
yvagSirKt/solana-pumpfun-bot
VictorVelea/solana-copy-bot
모닝스타213/솔라나펌프펀봇
워프-자라/솔라나-트레이딩-봇
하리스-이더리움/퀀트봇
악성 NPM 패키지:
암호화 레이아웃 유틸리티
bs58-encrypt-utils
악성 NPM 패키지 다운로드 링크:
https://github.com/sjaduwhv/testing-dev-log/releases/download/1.3.1/crypto-layout-utils-1.3.1.tgz
악성 NPM 패키지가 데이터를 업로드하는 서버:
githubshadow.xyz
