솔라나 블록체인에 숨은 자객... 신종 ‘글래스웜’ 캠페인 기승

블록체인과 클라우드 서비스를 빈틈없이 악용한 독보적인 우회 수법 보여줘

[보안뉴스 김형근 기자] 솔라나 블록체인을 데드 드롭(Dead Drop) 해결사로 악용해 명령을 전달하는 신종 글래스웜 캠페인이 포착됐다.

[출처: gettyimagesbank]

벨기에 안트베르펜에 본사를 둔 글로벌 보안 스타트업 아이키도(Aikido) 연구팀에 따르면, 공격자들은 npm, PyPI 등 오픈소스 저장소에 악성 패키지를 유포하거나 관리자 계정을 탈취해 초기 침투 경로를 확보했다.

이들은 러시아 지역 시스템에서는 작동을 즉각 멈추는 치밀한 설계를 통해, 수사 기관의 추적을 완벽하게 회피하고 있다.

솔라나 트랜잭션 메모에 숨긴 C2 서버 주소를 호출해, 각 운영체제에 최적화된 정보 탈취(Infostealer) 도구들을 한 가지도 빠짐없이 전부 다운로드 한다. 2단계 페이로드는 시스템 프로파일링과 함께 가상화폐 지갑 정보를 완벽하게 탈취해 외부 서버로 전송하는 기능을 수행한다.

공격자들은 윈도우 시스템의 USB 연결을 정밀하게 감지해 렛저(Ledger)나 트레저(Trezor) 지갑과 연결되면 가짜 복구 창을 띄운다. 이들은 24개 복구 구절 입력을 유도하는 정교한 ‘가짜 입력화면’(Phishing UI)을 통해 사용자의 자산을 위협하고 있다. 구글 캘린더 URL을 활용해 자바스크립트 기반 원격제어도구(RAT)를 설치해 브라우저 쿠키와 화면 캡처 등을 낱낱이 긁어모은다.

특히 크롬의 앱 결합 암호화(ABE) 보안을 우회해 브라우저에 저장된 모든 민감 데이터를 강제로 추출한다. 최근 AI 개발용 MCP 서버 생태계까지 침투해 공격 범위를 넓히고 있어 엄중한 주의가 필요하다.

이번 글래스웜 캠페인은 블록체인과 클라우드 서비스를 빈틈없이 악용한 독보적인 우회 수법을 보여준다. AI 개발 생태계까지 조준하는 정밀한 공격 시도는 향후 공급망 보안에 새로운 심각한 과제를 던져주고 있다.