암호화폐 봇 기반 결제 시스템 암호화폐 결제, 소프트웨어 공급망 침입으로 타격

Crypto Bot 기반 결제 시스템 Crypto Pay는 새로운 소프트웨어 공급망 침입의 일환으로 Telegram을 통한 개인 키 도난을 용이하게 하기 위해 Python Package Index 저장소의 aiocpa 라이브러리를 악의적으로 업데이트했다고 The Hacker News가 보도했습니다.

Cryptocurrency payment service Crypto Pay has fallen victim to a software supply chain attack, with its aiocpa library on the Python Package Index (PyPI) repository being maliciously updated to steal private keys via Telegram, The Hacker News reports.

암호화폐 결제 서비스인 Crypto Pay가 Python Package Index(PyPI) 저장소의 aiocpa 라이브러리가 Telegram을 통해 개인 키를 훔치기 위해 악의적으로 업데이트되면서 소프트웨어 공급망 공격의 희생양이 되었다고 The Hacker News가 보도했습니다.

The initial compromise of the package, a synchronous and asynchronous Crypto API client that has since been removed from PyPI, was noted with "sync.py" script modifications in aiocpa version 0.1.13 that executed a blob code subjected to multiple encoding and compression layers, ultimately enabling Telegram bot-based exfiltration of Crypto Pay API tokens, according to a report from Phylum, which has not yet definitively attributed the package compromise to a specific actor.

PyPI에서 제거된 동기식 및 비동기식 Crypto API 클라이언트인 패키지의 초기 손상은 여러 인코딩 및 압축 계층이 적용되는 blob 코드를 실행하는 aiocpa 버전 0.1.13의 "sync.py" 스크립트 수정으로 기록되었습니다. Phylum의 보고서에 따르면 궁극적으로 Telegram 봇 기반 Crypto Pay API 토큰 유출이 가능해졌지만 아직 패키지 손상이 특정 행위자에 의한 것인지 확실하게 밝혀지지 않았습니다.

"As evidenced here, attackers can deliberately maintain clean source repos while distributing malicious packages to the ecosystems," said Phylum, which urged developers to perform PyPI package source code scanning before downloading packages to mitigate potential compromise.

Phylum은 "여기에서 입증된 것처럼 공격자는 악의적인 패키지를 생태계에 배포하는 동시에 의도적으로 깨끗한 소스 저장소를 유지할 수 있습니다"라고 개발자에게 잠재적인 손상을 완화하기 위해 패키지를 다운로드하기 전에 PyPI 패키지 소스 코드 스캔을 수행할 것을 촉구했습니다.