최근 솔라나(SOL) 사용자를 타깃으로 한 새로운 피싱 사기가 깃허브(GitHub) 오픈소스 플랫폼을 통해 급속히 확산되고 있다. 사이버 보안 업체 슬로우미스트(SlowMist)에 따르면, 일부 투자자들이 '거래 봇'으로 위장한 악성 프로그램에 속아 피해를 입었다고 경고했다. 이 프로그램은 'solana-pumpfun-bot'이란 이름으로 배포되며, 사용자들의 프라이빗 키를 몰래 수집해 해커의 서버로 전송하는 방식으로 설계되어 있다.

사건의 발단은 피해자가 이 봇을 깃허브에서 다운로드한 후 시스템에서 실행한 것에서 시작됐다. 해당 봇은 노드JS(Node.js)로 개발된 애플리케이션으로, 외부 악성 패키지를 감추는 커스텀 깃허브 URL을 통해 필요한 종속 파일을 설치하였다. 이 방식은 공식 NPM 저장소의 검증 과정을 우회하여 악성 코드를 아무런 경고 없이 심을 수 있도록 했다. 실행 이후, 프로그램은 사용자의 지갑 데이터를 스캔하여 개인 키를 수집하고 이를 해커가 제어하는 원격 서버로 전송하는 식이다.

프로그램의 외관은 믿을 만한 프로젝트처럼 보이도록 설계됐다. 프로젝트는 별점, 포크 수, 최근 커밋 기록 등을 활용해 사용자들을 유도했으나, 전체 소스코드는 불과 3주 전에 깃허브에 업로드된 신생 코드였다. 여기에 여러 개의 가짜 깃허브 계정을 활용해 인기 있는 프로젝트인 양 위장한 정황까지 드러났다.

슬로우미스트는 이를 통해 "공식적인 소스코드를 사칭한 새로운 형태의 악성 프로그램이 등장하고 있다"며 경고의 목소리를 높였다. 또한 "정상적인 도구처럼 보이는 프로젝트라도 프라이빗 키에 접근할 권한을 요구할 경우, 반드시 격리된 환경에서 검증 후 사용해야 한다"고 강조했다.

이번 사건은 오픈소스 개발 환경을 타겟으로 한 해커의 전략이 점차 정교해지고 있음을 보여준다. 암호화폐 지갑 및 프라이빗 키를 취급하는 프로젝트들이 높은 우선순위로 노출되고 있는 만큼, 개발자뿐 아니라 일반 투자자들도 소스코드의 신뢰성을 검토하는 방법을 숙지해야 한다. 전문가들은 "공개된 깃허브 프로젝트가 완전한 안전지를 의미하지 않는다"며, "지갑에 연결되거나 키를 요구하는 오픈소스 툴은 중요한 위험 요소로 간주하고 취급해야 한다"고 경고하고 있다. 디지털 자산 관리의 보안 위험성은 복잡성이 아니라 방심에서 비롯된다는 점을 다시금 상기시키는 사건으로 보인다.