npm과 PyPI 해킹으로 암호화폐 지갑 털렸다
오픈소스 패키지 저장소 npm과 PyPI가 해킹당해 개발자들의 암호화폐 지갑이 털리는 사건 발생. dYdX 개발자들이 피해를 입었으며 모든 애플리케이션이 위험에 노출
개발자라면 매일 사용하는 npm과 PyPI. 이 오픈소스 패키지 저장소에 악성 코드가 심어져 암호화폐 지갑 정보를 훔쳐갔다는 충격적인 소식이 전해졌다.
개발자들의 지갑이 털렸다
보안업체 Socket의 연구진은 금요일 발표한 보고서에서 npm과 PyPI 저장소에 게시된 오픈소스 패키지들이 악성 코드에 감염됐다고 밝혔다. 이 코드는 dYdX 개발자들과 백엔드 시스템에서 지갑 인증 정보를 훔쳤으며, 일부 경우에는 기기에 백도어까지 설치했다.
Socket 연구진은 "감염된 npm 버전을 사용하는 모든 애플리케이션이 위험에 처해 있다"며 "직접적인 피해로는 지갑 완전 탈취와 되돌릴 수 없는 암호화폐 도난이 있다"고 경고했다. 공격 범위는 감염된 버전에 의존하는 모든 애플리케이션과 실제 인증 정보로 테스트하는 개발자, 그리고 프로덕션 환경의 최종 사용자까지 포함한다.
오픈소스의 취약점이 드러났다
이번 사건은 현대 소프트웨어 개발의 근간인 오픈소스 생태계의 취약성을 적나라하게 보여준다. 개발자들은 매일 수십, 수백 개의 외부 패키지를 사용하지만, 그 모든 코드를 일일이 검증할 수는 없다. 신뢰할 수 있다고 여겨지는 저장소조차 완벽하게 안전하지 않다는 현실이 드러난 셈이다.
특히 dYdX와 같은 탈중앙화 거래소 개발팀이 타겟이 된 것은 우연이 아니다. 암호화폐 프로젝트들은 높은 가치의 디지털 자산을 다루기 때문에 해커들의 주요 표적이 되고 있다. 한 번의 성공적인 공격으로 수백만 달러 규모의 피해를 입힐 수 있기 때문이다.
한국 개발자들도 안전하지 않다
이번 공격의 파급력은 전 세계적이다. npm과 PyPI는 각각 자바스크립트와 파이썬 개발자들이 가장 널리 사용하는 패키지 저장소다. 국내 핀테크 기업들과 블록체인 스타트업들도 이런 패키지들을 광범위하게 사용하고 있어 피해 범위에서 자유롭지 못하다.
카카오페이나 토스 같은 국내 핀테크 기업들, 그리고 수많은 암호화폐 거래소들이 비슷한 개발 환경을 사용하고 있다는 점을 고려하면, 이번 사건은 단순히 해외 소식이 아니다. 국내 개발팀들도 자신들이 사용하는 패키지의 무결성을 재점검해야 할 시점이다.
기자
관련 기사
영국 비자 신청 대행 사이트 'UK Visa Portal'에서 10만 건 이상의 여권 사진과 셀피가 외부에 노출됐다. 피해자들은 공식 정부 사이트로 착각하고 개인정보를 제출했다.
주당 3억 2500만 번 다운로드되는 오픈소스 프레임워크 Starlette에서 치명적 보안 취약점이 발견됐다. MCP 서버를 통해 AI 에이전트가 보관 중인 자격증명과 민감 데이터가 무방비 상태로 노출될 수 있다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
영국 비자 신청 대행 사이트 'UK Visa Portal'에서 10만 건 이상의 여권 사진과 셀피가 외부에 노출됐다. 피해자들은 공식 정부 사이트로 착각하고 개인정보를 제출했다.
주당 3억 2500만 번 다운로드되는 오픈소스 프레임워크 Starlette에서 치명적 보안 취약점이 발견됐다. MCP 서버를 통해 AI 에이전트가 보관 중인 자격증명과 민감 데이터가 무방비 상태로 노출될 수 있다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요