워드프레스 플러그인에 치명적인 취약점이 드러났습니다. 해커들은 이 약점을 이용해 피싱, 가짜 지갑 링크 등을 시도하고 있습니다.
이 결함은 지갑 백엔드나 토큰 계약에는 영향을 미치지 않지만, 사용자가 암호화폐 서비스를 안전하게 이용하기 위해 의존하는 프론트엔드 인프라를 노출시킵니다. 플러그인은 이후 패치되었지만, 수만 개의 사이트가 여전히 보호되지 않은 채 구버전을 실행하고 있습니다.
워드프레스 플러그인 사기 가능성
암호화폐 범죄는 현재 급증하고 있으며, 많은 예기치 않은 경로가 새로운 사기 공격을 초래할 수 있습니다. 예를 들어, 디지털 보안 회사인 Patchstack의 최근 보고서는 새로운 워드프레스 취약점이 새로운 암호화폐 사기를 가능하게 할 수 있음을 보여줍니다.
“Post SMTP 플러그인은 40만 개 이상의 설치를 보유한 이메일 전송 플러그인입니다. 버전 3.2.0 이하에서는 REST API 엔드포인트에서 여러 접근 제어 취약점이 존재하여, 등록된 사용자(권한이 없는 구독자 수준의 사용자 포함)가 다양한 작업을 수행할 수 있습니다,”라고 주장했습니다.
이 기능에는 이메일 수 통계 보기, 이메일 재전송, 이메일 본문 전체를 포함한 상세 이메일 로그 보기 등이 포함됩니다.
워드프레스 해커는 이 취약점을 이용해 비밀번호 재설정 이메일을 가로채어 관리자 계정을 장악할 수 있습니다.
암호화폐 목표 많다
그렇다면 이 워드프레스 취약점이 어떻게 암호화폐 사기로 이어질 수 있을까요? 불행히도 가능성은 사실상 무궁무진합니다. 가짜 고객 지원 이메일은 최근 피싱 시도에서 중요한 역할을 했습니다, 따라서 제한된 이메일 제어는 이미 위험합니다.
워드프레스를 사용하는 손상된 사이트는 악성 스크립트와 리디렉션을 사용하여 외부 링크에 가짜 토큰과 사기 웹사이트를 삽입할 수 있습니다.
해커는 비밀번호를 수집하고 이를 거래소 목록에 사용하려고 시도할 수 있습니다. 특정 페이지를 여는 모든 사용자에게 악성 코드를 주입할 수도 있습니다.
내 지갑 안전한가?
표면적으로 대부분의 암호화폐 지갑과 토큰 플랫폼은 핵심 인프라에 워드프레스를 사용하지 않습니다. 그러나 종종 홈페이지나 고객 지원 같은 사용자 측 기능에 사용됩니다.
견고한 엔지니어링 팀이 없는 작은 또는 새로운 프로젝트가 손상되면 보안 침해가 눈에 띄지 않을 수 있습니다. 감염된 워드프레스 계정은 미래의 사기를 위해 사용자 정보를 수집하거나 고객을 피싱 시도로 직접 유도할 수 있습니다.
보호받는 방법
다행히도 Patchstack은 이 특정 버그에 대한 수정 사항을 신속히 발표했습니다. 그러나 Post SMTP 사용자의 10% 이상이 이를 설치하지 않았습니다. 이는 약 4만 개의 웹사이트가 악용에 취약하다는 것을 의미하며, 이는 큰 보안 위험을 나타냅니다.
현명한 암호화폐 사용자는 침착함을 유지하고 표준 보안 관행을 실천해야 합니다. 무작위 이메일 링크를 신뢰하지 말고, 신뢰할 수 있는 프로젝트와 함께 하며, 하드웨어 지갑을 사용하십시오. 가장 큰 책임은 사이트 운영자에게 있습니다.
작은 암호화폐 프로젝트가 Patchstack의 버그 수정을 다운로드하지 않고 워드프레스 사이트를 운영하면, 해커는 이를 사용하여 끝없는 사기 목록을 실행할 수 있습니다. 요컨대, 암호화폐 사용자는 비주류 프로젝트에 주의하면 안전할 것입니다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.
