GitHub 인기 오픈소스 '솔라나 펌프펀 봇'에 악성 코드 숨겨져…암호화폐 지갑 탈취 사건 발생

보안 회사 SlowMist가 GitHub 플랫폼에서 널리 사용되던 오픈소스 프로젝트 '솔라나-펌프펀-봇(Solana-pumpfun-bot)'에 사용자 지갑에서 암호화폐를 훔치는 악성 코드가 삽입된 사실을 적발했습니다. 이번 조사는 2025년 7월 2일, 한 피해자가 자신의 지갑 자산이 도난당한 원인 분석을 요청하면서 시작되었습니다. 피해자는 사건 전날 GitHub에서 호스팅된 해당 오픈소스 프로젝트를 사용한 직후 암호화폐 자산을 도난당한 것으로 확인되었습니다. SlowMist에 따르면, 도난당한 자금은 FixedFloat 거래소로 이체 중이며, 프로젝트 작성자가 주요 용의자로 지목되고 있습니다. 해커는 공식 오픈소스 프로젝트인 것처럼 위장하여 사용자들이 악성 코드를 다운로드해 실행하도록 유도했습니다. 조사 과정에서 'crypto-layout-utils'라는 의심스러운 종속 패키지가 공식 NPM 저장소에서 삭제된 상태로 발견되었으며, 해커는 원본 다운로드 URL 대신 악성 버전의 소프트웨어를 업로드했습니다. 이 악성 코드는 피해자의 PC에서 지갑 관련 파일을 검색한 후 공격자 서버로 민감한 데이터를 전송했습니다. 또한 조사 결과, 프로젝트 작성자가 여러 GitHub 계정을 통제하며 악성 프로젝트를 포크하고 유포하며 프로젝트 인위적으로 인기 있게 만드는 행위를 한 것으로 드러났습니다. 'bs58-encrypt-utils'라는 또 다른 악성 패키지를 사용한 유사한 악성 포크 프로젝트들도 다수 확인되었습니다. 이 공격 체인은 여러 GitHub 계정이 협업해 진행된 것으로, 전파 범위를 확장하고 신뢰도를 높여 극도로 교묘한 수법으로 평가받고 있습니다. SlowMist 운영 책임자 리사는 "암호화폐 해킹 기술 자체는 크게 발전하지 않았지만 사기 수법이 훨씬 더 정교해졌다"고 지적하며, 최근에는 가짜 브라우저 확장 프로그램, 조작된 하드웨어 지갑, 소셜 엔지니어링 공격이 증가하고 있다고 설명했습니다. 특히 공격자가 '위험한 서명 감지됨'과 같은 경고문을 통해 사용자를 공황 상태로 유도해 평소에는 하지 않을 행동(링크 클릭이나 민감 정보 공유 등)을 하도록 조종하는 사례가 늘고 있다는 경고도 덧붙였습니다.