제이프로그 보안 연구팀이 MEXC 거래소의 암호화폐 선물 거래를 대상으로 하는 악성 패키지에 대해 경고하며, 이 패키지가 자금을 도용하고 거래 자격 증명을 유출하려 한다고 알렸다.
15일(현지시간) 크립토뉴스에 따르면, 연구팀은 4월 15일 정당한 암호화폐 거래소 트레이딩(CCXT) 라이브러리를 사용해 사용자 거래 요청을 악성 서버로 리디렉션하는 "ccxt-mexc-futures" 패키지에 대한 상세 보고서를 발표했다. 악의적인 당사자는 정당한 도메인과 매우 유사한 도메인을 설정한다. 이 경우 사용자는 가짜 MEXC 도메인을 정당한 것으로 오인할 수 있다.
피해자가 함정에 빠지면 공격자는 거래 요청에 포함된 모든 암호화폐와 민감한 정보를 탈취할 수 있다. 따라서 공격자는 애플리케이션 프로그래밍 인터페이스(API) 키와 비밀을 도용할 수도 있다. 이로 인해 암호화폐 거래 계정이 손상된다.
연구원들에 따르면, "난독화 기술과 가짜 MEXC 웹사이트의 사용은 이 피싱 캠페인의 정교함을 더욱 보여준다." 가짜 웹사이트는 페이스북에서도 홍보되고 있다.
한편, 더 자세히 살펴보면, 제이프로그는 ccxt-mexc-futures 패키지가 암호화폐 거래소 트레이딩(ccxt) PyPI 패키지를 통해 암호화폐 거래 기능을 확장한다고 주장한다고 설명한다. 이는 MEXC를 포함한 많은 거래소에서의 거래를 지원하는 정당하고 인기 있는, 암호화폐 거래 파이썬 패키지다.
그러나 공격자들은 악성 패키지가 정당한 CCXT 패키지를 확장하여 MEXC에서 "선물" 거래를 지원한다고 주장한다. 대신, 그 목표를 달성하기 위해 악성 패키지는 세 가지 관련 기능인 describe, sign, prepare_request_headers를 오버라이드한다.
보고서는 CCXT의 MEXC 인터페이스가 다양한 유형의 거래를 지원하기 위해 광범위한 API 세트를 정의한다고 설명한다. 공격자들은 이 API 중 두 가지인 contract_private_post_order_submit와 contract_private_post_order_cancel을 대상으로 했다.
악성 ccxt-mexc-futures 패키지가 이 두 API를 오버라이드하면, 세 번째 API인 spot4_private_post_order_place를 추가한다. 따라서 사용자는 CCXT 라이브러리의 정당한 API로 가장하는 이러한 API를 통해 거래 주문을 생성, 배치 또는 취소한다.
"사용자가 이러한 항목을 사용할 때마다 CCXT 정의 항목을 사용하는 대신 공격자의 항목을 사용하여 요청에서 선물 거래를 지정할 것이다"라고 연구원들은 말한다.
특히, 공격자들은 더 나아갔다. 그들은 "BadRequest" 응답이 "OrderFilled" 응답으로 변경되도록 하여 사용자가 주문이 처리되었다고 생각하도록 만들었다.
또한, 악성 패키지가 sign 함수를 오버라이드하므로, 사용자가 패키지를 사용하여 MEXC와 통신하려고 하면 요청은 가짜 도메인으로 이동한다. 이는 또한 요청 헤더에 사용자 토큰을 공격자에게 보내는 것을 의미한다.
사용자 토큰이 제공되지 않으면, 패키지는 주문하기 전에 사용자에게 토큰을 추가하도록 요청할 것이다. "만약 선물 관련 항목이 아니라면, 패키지는 흐름을 CCXT 패키지의 원래 MEXC 거래소 구현으로 유도한다"라고 보고서는 언급한다.
한편, 연구원들은 악성 패키지의 두 가지 버전을 발견했다. 그들은 패키지를 설치한 피해자의 컴퓨터에서 임의의 코드를 숨기고 실행하는 다른 방법을 사용한다. 그러나 두 방법 모두 "공격자들이 악성 페이로드를 숨기고 실행하는 매우 일반적인 방법"이다.
이 위협에 대응하여, 제이프로그는 악성 파이썬 패키지를 제이프로그 엑스레이에 추가하여 사용자들이 즉시 이를 감지할 수 있도록 했다고 밝혔다.