인터넷에서 가장 많이 사용되는 npm 패키지 중 하나인 axios에 무슨 일이 일어났는지 아시나요?
→ axios는 매주 1억 회 이상 다운로드되는데, 오늘 해킹당했습니다.
→ 공격자가 axios 주요 관리자의 npm 계정 정보를 탈취하고, 계정 이메일을 익명의 ProtonMail 주소로 변경한 후, 악성 코드가 포함된 두 버전을 수동으로 배포했습니다.
→ axios@1.14.1과 axios@0.30.4 버전 모두 axios 자체에는 악성 코드가 한 줄도 포함되어 있지 않습니다. 대신 plain-crypto-js라는 가짜 종속성을 삽입하여 사용자의 컴퓨터에 원격 접속 트로이목마를 설치합니다.
→ 이 가짜 종속성은 18시간 전에 미리 준비되었으며, macOS, Windows, Linux용으로 각각 다른 페이로드가 제작되었습니다. 두 릴리스 브랜치는 39분 만에 모두 공격받았으며, 모든 추적 정보는 실행 후 자동으로 삭제되도록 설계되었습니다.
→ axios GitHub 저장소에는 1.14.1 버전에 대한 태그가 없습니다. 이 공격은 일반적인 릴리스 프로세스를 완전히 무시하고 배포되었습니다... CI/CD를 완전히 우회했습니다.
→ StepSecurity는 이를 상위 10개 npm 패키지를 대상으로 한 가장 정교한 공급망 공격 중 하나로 평가했습니다.
→ 일반적인 npm install 명령이 아무런 경고 없이, axios 자체에서는 의심스러운 코드도 보이지 않게 백도어를 조용히 열어버립니다.
이것은 모든 바이브 코딩 커뮤니티 구성원들이 지금 당장 들어야 할 경종입니다.
→ 두 버전 중 하나라도 설치했다면 시스템이 손상되었다고 가정하십시오.
→ axios@1.14.0 또는 axios@0.30.3 버전으로 고정하십시오.
→ 영향을 받은 시스템의 모든 비밀 키, API 키, SSH 키 및 자격 증명을 교체하십시오.
→ 네트워크 로그에서 C2 연결을 확인하십시오.
→ 향후 CI npm install 명령에 -ignore-scripts 옵션을 추가하십시오.
주간 1억 건의 다운로드와 단 하나의 관리자 계정 해킹...
이것만으로도 엄청난 피해를 입혔습니다.
그리고 앞으로 이런 일이 더 많이 발생할 것으로 예상됩니다... 사이버 보안과 바이브 코딩에 있어 앞으로는 매우 위험한 시기가 될 것입니다.
모두 안전에 유의하세요.
