자바스크립트와 Node.js 생태계에서 수백만 명의 개발자들이 사용하는 NPM(Node Package Manager)를 겨냥한 대규모 악성 코드 공격이 발생했다. 이번 공격은 암호화폐 탈취를 목표로 하며, 인기 라이브러리에 악성 코드가 삽입되어 전 세계의 웹과 서버 애플리케이션에 큰 영향을 미치고 있다. 보안 전문가들은 이번 사건을 소프트웨어 공급망 공격의 일환으로 분석하고 있다.

공격자는 유명 개발자 qix의 NPM 계정을 피싱으로 탈취하여 그가 관리하던 주요 라이브러리에 악성 코드를 포함시킨 버전을 게시했다. 이 라이브러리는 매주 10억 회 이상 다운로드되는 인기 패키지를 포함하고 있어 그 영향력은 매우 광범위하다. 특히, 이번 악성 코드는 '크립토 클리퍼' 유형으로, 사용자의 암호화폐 지갑 주소를 가로채고 거래 시 수신 주소를 공격자의 지갑으로 바꿔치기하는 기능이 특징이다.

더욱이, 해당 악성 코드는 지갑이 설치되지 않은 환경에서도 작동하도록 설계되었으며, 브라우저의 fetch나 HTTP 요청을 교란시켜 비정상적인 주소 교체 알고리즘을 적용한다. 이 과정에서 공격자는 시각적으로 유사한 지갑 주소를 생성하여 피해자가 인지하기 어렵도록 조치하였다. 이러한 공격은 웹사이트뿐만 아니라 데스크톱 애플리케이션, 모바일 앱, 서버 프로그램 등 다양한 자바스크립트 기반 플랫폼을 대상으로 하여 그 위험성이 크다.

악성 코드가 숨겨진 대표적인 패키지로는 'chalk', 'strip-ansi', 'color-convert', 'color-name' 등이 있으며, 이 패키지들은 대부분 수많은 오픈소스 프로젝트의 하위 종속성으로 존재하고 있다. 해당 악성 코드는 한 개발자가 자동 빌드 과정에서 "fetch is not defined"라는 오류를 발견하면서 드러났다. 분석 결과, 공격자는 사용자가 서명하기 전 메모리 내 트랜잭션 정보를 실시간으로 편집해 자금을 탈취하는 방식으로 고도화되었다.

하드웨어 지갑 제조사인 레저의 CEO는 "하드웨어 지갑 사용자는 서명 전 모든 트랜잭션 내용을 반드시 확인해야 하고, 소프트웨어 지갑 사용자에게는 온체인 트랜잭션을 당분간 자제할 것을 권고한다"며 경각심을 일깨웠다. 이러한 공격에 대한 대응으로 디파이 대표 플랫폼 유니스왑은 “우리는 감염된 패키지 버전을 사용하지 않고 있으므로 사용자 시스템은 안전하다”고 발표한 반면, 블록스트림 역시 자사가 이 공격의 영향권에서 벗어나 있다고 밝혔다.

현재 NPM 생태계에 대한 공격 빈도는 점차 증가하고 있으며, 이러한 사건은 암호 자산을 주요 타깃으로 삼아 그 위험성을 한층 더 키우고 있다. 전문가들은 "단순한 임의 클릭 한 번이 앞으로 수백만 원 이상 손실로 이어질 수 있다"며 경고하고 있다. 이번 사건은 단순한 개인 지갑 해킹을 넘어 현대 개발 생태계의 보안 구조적 취약성을 드러낸 사례로, 개발자와 사용자 모두 NPM 관련 프로젝트를 사용할 때 더욱 면밀한 검토가 요구된다는 지적이 이어지고 있다.