TechFlow 보도에 따르면, 4월 2일 VentureBeat는 공격자가 JavaScript에서 가장 인기 있는 HTTP 클라이언트 라이브러리인 Axios의 주요 유지 관리자의 npm 액세스 토큰을 탈취해, 크로스플랫폼 원격 접근 트로이 목마(RAT)를 포함한 두 개의 악성 버전(axios@1.14.1 및 axios@0.30.4)을 게시했다고 전했다. 이 악성 패키지는 macOS, Windows, Linux 등 다양한 운영체제를 대상으로 하며, npm 레지스트리에 약 3시간 동안 게시된 후 제거되었다.
보안 기업 Wiz의 데이터에 따르면, Axios는 주간 다운로드 수가 1억 건을 넘으며, 클라우드 및 코드 환경의 약 80%에 존재한다. 보안 기업 Huntress는 악성 패키지 게시 후 89초 만에 첫 번째 감염 사례를 탐지했으며, 노출 기간 내 최소 135개 시스템이 침해당했음을 확인했다.
주목할 점은 Axios 프로젝트가 이전부터 OIDC 신뢰 기반 배포 메커니즘과 SLSA 출처 증명(SLSA provenance) 등 현대적인 보안 조치를 이미 도입했음에도 불구하고, 공격자가 이러한 방어선을 완전히 우회했다는 것이다. 조사 결과, 프로젝트는 OIDC 설정과 병행해 기존의 장기 유효한 NPM_TOKEN을 여전히 유지하고 있었고, npm은 두 가지 토큰이 공존할 경우 기본적으로 전통적 토큰을 우선 사용하기 때문에 공격자는 OIDC를 우회할 필요 없이 바로 배포를 수행할 수 있었다.
즐겨찾기 추가
소셜 미디어 공유
