주의: 암호화폐 지갑을 터는 새로운 악성코드 발견...이것이 원인 프로그램과 대처법

보안 기업 슬로미스트(SlowMist)는 깃허브(GitHub)에 게시되어 커뮤니티에서 주목을 받았던 오픈소스 프로젝트 'solana-pumpfun-bot'이 사용자 지갑을 노린 사기 체계를 포함하고 있음을 밝혔다. 해당 프로젝트를 실행한 사용자들의 지갑에서 암호화폐가 도난당했으며, 일부 자금은 FixedFloat라는 플랫폼으로 이동한 것으로 확인됐다.

이 사건은 2025년 7월 2일 피해 사용자가 슬로미스트 팀에 연락하면서 드러났다. 피해자 진술에 따르면, 그는 전날 깃허브의 'zldp2002/solana-pumpfun-bot' 프로젝트를 사용하기 시작한 후 지갑 내 암호화폐가 유출됐다고 전했다.

슬로미스트의 사후 분석 결과, 이 프로젝트는 Node.js 기반이었으며 'crypto-layout-utils'라는 의심스러운 서드파티 패키지를 사용하고 있었다. 해당 패키지는 NPM 공식 기록에 등록되지 않았으며 이미 플랫폼에서 삭제된 상태다. 조사 결과 악성 개발자가 package-lock.json 파일의 링크를 조작해 사용자가 악성 소프트웨어를 설치하도록 유도한 것으로 나타났다.

슬로미스트 전문가들은 다운로드된 'crypto-layout-utils-1.3.1' 패키지가 복잡하고 난독화된 코드를 포함하고 있으며, 이 코드들이 사용자 컴퓨터의 지갑 및 개인 키가 포함된 파일을 스캔한 후 'githubshadow.xyz'라는 공격자의 서버로 데이터를 전송했다고 설명했다.

또한 해당 프로젝트의 개발자로 알려진 깃허브 사용자(zldp2002)가 다수의 가짜 계정을 통제하고 있으며, 이 계정들로 프로젝트를 포크(fork)해 더 많은 사용자를 노린 것으로 분석됐다. 일부 포크 버전에서는 'bs58-encrypt-utils-1.0.3'이라는 다른 악성 NPM 패키지가 사용되기도 했다.

사건 발생 후 슬로미스트는 MistTrack이라는 온체인 분석 도구를 이용해 공격자를 추적했으며, 공격자가 도난당한 암호화폐 일부를 FixedFloat 플랫폼으로 전송한 사실을 확인했다. 이 악성코드 공격은 2025년 6월 12일부터 활동한 것으로 추정된다.

슬로미스트는 사용자들이 깃허브 같은 오픈소스 플랫폼에서 다운로드한 소프트웨어, 특히 개인키나 지갑 조작이 관련된 프로젝트에 대해 각별히 주의할 것을 당부했다. 필요한 경우에는 중요한 데이터가 없는 별도의 격리된 환경에서 해당 프로젝트를 실행할 것을 권고했다.

본 내용은 투자 조언이 아닙니다.