AppsFlyer Web SDK를 통해 악성 JavaScript 코드가 배포되어 암호화폐 지갑 주소를 탈취하는 공급망 공격이 발생하였습니다. 이 악성 코드는 웹사이트에서 입력되는 암호화폐 지갑 주소를 공격자가 제어하는 주소로 교체하여 자금을 탈취하는 방식으로 동작합니다. AppsFlyer SDK는 전 세계 15,000개 기업, 100,000개 이상의 모바일 및 웹 애플리케이션에서 사용되고 있어, 이번 사건의 영향 범위가 매우 넓습니다.
Profero 연구진은 AppsFlyer SDK가 로드된 웹사이트와 애플리케이션에서 난독화된 공격자 제어 JavaScript가 전달되는 것을 확인하였습니다. 악성 JavaScript는 정상적인 SDK 기능을 유지하면서도, 백그라운드에서 암호화폐 지갑 주소 입력을 감시하고, 이를 공격자의 주소로 교체하며 원래 주소와 메타데이터를 유출합니다. 주요 타깃은 Bitcoin, Ethereum, Solana, Ripple, TRON 등 주요 암호화폐입니다.
AppsFlyer는 3월 10일 도메인 등록기관 문제로 인해 Web SDK가 일시적으로 비인가 코드에 노출되었음을 인정하였으나, 모바일 SDK는 영향을 받지 않았고 고객 데이터 유출 증거도 없다고 밝혔습니다. 현재 조사가 진행 중이며, 고객들에게 직접적으로 안내와 업데이트가 제공되었습니다. 보안 전문가들은 SDK를 사용하는 조직에 대해 의심스러운 API 요청 로그 확인, 안전한 버전으로의 다운그레이드, 잠재적 침해 조사 등을 권고하고 있습니다.
요약
- AppsFlyer Web SDK를 통한 악성 JavaScript 공급망 공격으로 암호화폐 지갑 주소 탈취가 발생하였다.
- 악성 코드는 정상 SDK 기능을 유지하면서 암호화폐 주소를 공격자 주소로 교체하고 정보를 유출한다.
- Profero 연구진이 해당 악성코드를 발견하였으며, 주요 암호화폐가 타깃이 되었다.
- AppsFlyer는 Web SDK의 일시적 노출을 인정했으나, 모바일 SDK와 고객 데이터는 안전하다고 밝혔다.
- 보안 전문가들은 SDK 사용자들에게 로그 점검과 안전 조치 강화를 권고하고 있다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.