보안정보

글로벌 정보보안 리더 윈스
공급망 공격ruby-bitcoin-0.0.20.gempretty_color-0.8.1.gem악성 RubyGems 패키지

암호 화폐 공급망 공격에 사용되는 악성 RubyGems 패키지

침해사고분석팀 2020.12.17

RubyGems

 

공급망 공격에 이용되고 있는 새로운 악성 RubyGems 패키지가 의심하지 않는 사용자들로부터 암호 화폐를 훔치는 것으로 밝혀졌다.

 

RubyGems는 개발자들이 다른 사람들이 개발한 코드를 자신의 프로그램에 다운로드하고 통합할 수 있도록 하는 루비 프로그래밍 언어의 패키지 관리자이다.

 

누구나 Gem을 RubyGems 리포지토리에 업로드할 수 있기 때문에, 공격자들은 다른 개발자가 자신의 프로그램에 통합하기를 바라며 악성 패키지를 리포지토리에 업로드한다.

 

대규모 프로젝트가 악성 패키지를 통합하면 많은 사용자에게 광범위하게 배포되는 공급망 공격을 발생시킬 수 있다.

 

 

 

악의적인 gems가 사용자의 암호 화폐를 훔친다

12월 16일, 오픈소스 보안업체 Sonatype은 클립보드 하이잭커를 설치하는 두 개의 악의적인 Ruby 패키지에 대해 보고했다.

 

해당 패키지는 비트코인 라이브러리 및 다양한 색상 효과로 문자열을 표시하는 라이브러리로 가장하고 있다.

 

클립보드 하이잭커는 Windows 클립보드에서 암호 화폐 주소가 모니터링하고 탐지되면 해당 주소를 공격자의 통제 하에 있는 주소로 바뀐다.

 

사용자가 주소를 붙여넣은 후 다시 확인하지 않는 한, 전송된 동전은 공격자가 의도한 암호 화폐 주소로 보내진다.

 

이 악성 패키지의 이름은 'pretty_color-0.8.1.gem'과 'ruby-bitcoin-0.0.20.gem'이며 클립보드 하이잭재커 역할을 하는 VBS 스크립트를 생성하는 악의적인 Ruby 스크립트를 포함하고 있다.

 

아래에서 볼 수 있듯이, ruby-bitcoin-0.0.20.gem에는 난독화된 base64 인코딩된 문자열을 포함하는 extconf.rb 스크립트가 포함되어 있다.

 

 

the_Score.vbs를 만드는 Ruby 코드

[그림1. the_Score.vbs를 만드는 Ruby 코드]

 

 

Ruby 스크립트에는 앞서 클립보드 하이재킹을 수행한 760개의 악의적인 Ruby 패키지를 발견한 Reversing Labs의 Tomislav Maljic에게 보내는 주석이 포함되어 있다.

 

base64 인코딩된 문자열은 다른 악의적인 VBS 파일을 생성하고 사용자가 Windows에 로그인할 때 자동으로 시작되도록 구성하기 위해 실행되는 VBS 파일이다. 

 

이 VBS 스크립트는 클립보드 하이재커이며 이전 Microsoft Security Essentials 보안 소프트웨어를 가장하기 위해 C:ProgramData/Microsoft Essentials/Software Essentials.vbs에 저장된다.

 

클립보드 하이잭킹 스크립트는 매 초마다 Windows 클립보드를 모니터링하여 비트코인 주소, 이더리움 주소 또는 16진수의 Monero 주소가 포함되어 있는지 확인한다.

 

 

클립 보드 하이재킹 VBS 스크립트

[그림2. 클립 보드 하이재킹 VBS 스크립트]

 

 

해당 스크립트는 클립보드에서 모니터링되는 암호 화폐 주소를 탐지하면 공격자가 제어하는 다른 암호 화폐 주소로 대체된다.

 

공격자가 사용하는 주소 목록은 다음과 같다.

 

- 비트 코인 :  bc1qgmem0e4mjejg4lpp03tzlmhfpj580wv5hhkf3p


- 이더리움 :  0xcB56f3793cA713813f6f4909D7ad2a6EEe41eF5e


- 모네로 :  467FN8ns2MRYfLVEuyiMUKisvjz7zYaS9PkJVXVCMSwq37NeesHJpkfG44mxEFHu8Nd9VDtcVy4kM9iVD7so87CAH2iteLg

 

ruby-bitcoin-0.0.20.gem 패키지는 12월 7일 RubyGems에 추가되었으며 81회 다운로드되었다. petty_color-0.8.1.gem 패키지는 12월 13일에 추가되었으며 61회 다운로드되었다. 두 패키지는 모두 리포지토리에 추가된 다음 날 RubyGems에 의해 제거되었다.

 

현재, 암호 화폐 주소 중 어떤 것도 자금을 받지 못했다.

 

공급망 공격은 한 번의 침입 또는 프로젝트에 포함된 것이 많은 사용자에게 영향을 줄 수 있기 때문에 점점 더 인기를 얻고 있다.

 

지난 2년 동안 njRAT 원격 액세스 트로이 목마를 설치하거나 Discord 계정을 도용하는 악의적인 NPM 프로젝트가 발견되었다. 이번 주, 네트워크 관리 회사인 SolarWinds는 미국 정부 기관을 포함하여 거의 18,000명의 고객에게 영향을 미치는 대규모 공급망 공격을 받았다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/malicious-rubygems-packages-used-in-cryptocurrency-supply-chain-attack/

https://blog.sonatype.com/rubygems-laced-with-bitcoin-stealing-malware
목록