상세 컨텐츠

본문 제목

악성 NPM 패키지, 브라우저에 저장된 사용자의 비밀번호 훔쳐

국내외 보안동향

by 알약4 2021. 7. 22. 09:00

본문

 

 

Malicious NPM Package Caught Stealing Users' Saved Passwords From Browsers

 

공식 NPM 저장소에서 제공되는 소프트웨어 패키지가 실제로는 크롬 웹 브라우저에 저장된 비밀번호를 훔치도록 설계된 툴을 포함하고 있는 것으로 나타났습니다.

 

문제의 패키지 이름은 "nodejs_net_server"20192월 이후로 1,283회 이상 다운로드 되었으며, 7개월 전 버전 1.1.2로 마지막으로 업데이트되었습니다. 연결된 저장소는 GitHub에서 호스팅되는 존재하지 않는 위치였습니다.

 

ReversingLabs의 연구원인 Karlo Zanki는 이에 대해 아래와 같이 밝혔습니다.

 

“이는 그 자체로는 악성이지 않지만, 악의적으로 사용할 수 있습니다. 예를 들어, 이 패키지는 악성 비밀번호 스틸링 및 크리덴셜 유출을 수행하는데 사용될 수 있습니다. 이 상용 비밀번호 복구 툴은 그래픽 사용자 인터페이스(GUI)를 포함하고 있지만, 악성코드 제작자들은 커맨드라인을 통해서도 실행할 수 있기 때문에 이 툴을 사용하는 것을 좋아합니다.”

 

해당 패키지의 첫 번쨰 버전은 NPM 패키지의 퍼블리싱 프로세스를 테스트하기 위해 게시되었지만, “chrunlee”라는 이름을 사용하는 개발자는 이후 버전에서 원격 셸 기능을 구현하기 위해 여러 번 수정했습니다.

 

이후 그의 개인 웹사이트("hxxps://chrunlee.cn/a.exe")에서 호스팅되는 ChromePass 비밀번호 스틸링 툴을 다운로드 하는 스크립트가 추가되었으며, 이는 3주 후 팀 뷰어 원격 접속 툴을 사용하기 위해 수정되었습니다.

 

 

<이미지 출처 : https://blog.secure.software/groundhog-day-npm-package-caught-stealing-browser-passwords>

 

 

흥미롭게도 작성자는 "package.json" 파일에 지정된 NPM 패키지의 구성 옵션 중 JavaScript 실행파일을 설치하는데 사용되는 “bin” 필드를 악용하여 정식 패키지인 “jstest”의 실행을 하이재킹하여 악성 변종을 실행하도록 합니다. 이후 커맨드라인을 통해 파일 조회, 업로드, 셸 명령 실행, 화면 및 카메라 녹화를 포함한 다양한 명령 배열을 수신할 수 있는 서비스를 런칭하는데 이를 악용합니다.

 

ReversingLabsNPM의 보안팀에 72, 715일 두 차례 해당 패키지를 제보했지만 아직까지 이를 제거하기 위한 조치가 취해지지 않았다고 밝혔습니다.

 

Zanki는 이에 대해 아래와 같이 밝혔습니다.

 

“소프트웨어 패키지 저장소의 인기가 높아지고 사용이 간편해지면서, 공격자들의 완벽한 타깃이 되고 있습니다. 개발자는 기존 라이브러리를 재사용해 필요한 기능을 더 빠르고 쉽게 구현할 때, 프로젝트에 포함시키기 전 심층 보안 평가를 거의 진행하지 않습니다. 보통 이들은 패키지를 빠르게 설치하고 문제를 해결할 수 있는지 확인한 후 그렇지 않으면 다음 대안으로 넘어갑니다. 이는 매우 위험한 관행이며, 의도치 않게 악성 소프트웨어를 설치하게 될 수도 있습니다.”

 

 

 

 

출처:

https://thehackernews.com/2021/07/malicious-npm-package-caught-stealing.html

https://blog.secure.software/groundhog-day-npm-package-caught-stealing-browser-passwords

 

관련글 더보기

댓글 영역