악성 NuGet 패키지 StripeApi.Net, Stripe 라이브러리 사칭하며 API 토큰 탈취

금융 분야 표적 악성 NuGet 패키지, API 토큰 탈취 시도

사이버 보안 연구진은 금융 서비스 제공업체 Stripe의 공식 라이브러리인 Stripe.net을 사칭하도록 설계된 NuGet Gallery의 악성 패키지를 발견했다. StripeApi.Net으로 명명된 이 위조 패키지는 합법적인 개발자로 위장한 공격자에 의해 업로드되었으며, 금융 분야 사용자들의 API 토큰을 탈취하는 것을 목적으로 한다.

기술적 세부 사항

이 악성 StripeApi.Net 패키지는 Stripe의 공식 .NET 라이브러리인 Stripe.net(7,500만 회 이상 다운로드)을 가장하고 발견되었다. 정품 라이브러리는 Stripe의 결제 처리 API와 안전한 통합을 제공하지만, 위조 버전은 위협 행위자가 제어하는 원격 서버로 API 토큰을 포함한 민감한 자격 증명을 유출하는 은닉 기능을 포함하고 있다.

주요 침해 지표는 다음과 같다:

• 패키지 이름: StripeApi.Net(공식 Stripe.net과 미묘한 차이 존재)
• 업로더: 이전 활동 기록이 없는 새로 생성된 NuGet 계정
• 행위: 임베디드된 악성 코드를 통한 자격 증명 무단 수집

공개 시점 기준으로 이 패키지는 아직 큰 주목을 받지 못했지만, 금융 분야 개발자를 대상으로 한다는 점에서 유출된 API 토큰의 고부가가치성을 고려할 때 우려가 크다.

영향 분석

API 토큰은 금융 시스템, 결제 게이트웨이, 민감한 고객 데이터에 접근할 수 있는 중요한 인증 자격 증명이다. StripeApi.Net이 성공적으로 배포될 경우, 위협 행위자는 다음을 수행할 수 있다:

• 금융 거래 접근 및 결제 처리 조작
• 고객 데이터 유출, 개인 식별 정보(PII) 및 결제 정보 포함
• 탈취된 자격 증명을 활용한 공격 확대

금융 분야는 여전히 공급망 공격의 주요 표적이 되고 있으며, 이번 사건은 패키지 저장소에서 발생하는 의존성 혼동(dependency confusion) 및 **타이포스쿼팅(typosquatting)**의 위험성을 강조한다.

보안 팀을 위한 권고 사항

악성 NuGet 패키지와 관련된 위험을 완화하기 위해 다음 조치를 취할 것을 권장한다:

1. 패키지 진위 확인: 설치 전 항상 패키지 이름, 게시자, 다운로드 수를 교차 검증한다.
2. 패키지 서명 사용: 무결성을 보장하기 위해 디지털 서명된 패키지 사용을 강제한다.
3. 의존성 모니터링: 의심스럽거나 승인되지 않은 패키지를 탐지하기 위해 소프트웨어 구성 분석(SCA) 도구를 구현한다.
4. NuGet 소스 제한: 개발 환경에서 신뢰할 수 있는 저장소에서만 패키지를 허용하도록 구성한다.
5. 개발자 교육: 타이포스쿼팅 공격 및 패키지 출처 검증의 중요성에 대한 인식을 제고한다.

보안 팀은 StripeApi.Net의 존재 여부를 환경에서 스캔하고 노출된 API 토큰을 즉시 폐기할 것을 권장한다. NuGet Gallery는 해당 악성 패키지를 제거했지만, 유사한 공격을 방지하기 위한 경계가 여전히 중요하다.

출처: The Hacker News