TechFlow 소식에 따르면, 9월 9일 레저(ledger)의 최고 기술 책임자인 샤를 기예메(Charles Guillemet)가 소셜 미디어를 통해 다음과 같이 밝혔다. "NPM 공격 사건은 성공하지 못했으며 피해는 거의 발생하지 않았다. 공격자는 가짜 npm 지원 도메인에서 발송된 피싱 이메일을 통해 사용자 인증 정보를 탈취한 후 악성 소프트웨어 패키지 업데이트를 게시했다. 삽입된 코드는 웹페이지 상의 암호화 활동을 대상으로 하여 이더리움, 솔라나 등의 블록체인 네트워크에서 거래를 탈취하고, 네트워크 응답 내에서 지갑 주소를 직접 교체했다. 그러나 공격자의 작업 실수로 인해 CI/CD 프로세스가 중단되면서 공격이 조기에 발견되었고, 영향 범위는 제한적이었다.
하지만 이는 분명한 경고이다. 자금을 소프트웨어 지갑이나 거래소에 보관하는 경우, 단 한 차례의 코드 실행만으로도 모든 자금을 잃을 수 있다는 점을 명심해야 한다. 공급망 보안 취약점은 여전히 악성 소프트웨어 확산의 주요 경로이며, 표적형 공격 또한 점점 증가하고 있다. 현재의 위험은 이미 지났지만, 위협은 여전히 존재하므로 항상 경계를 늦추지 말고 보안을 확보해야 한다."
이전 소식에 따르면 개발자 qix가 피싱 공격을 당해 다수의 인기 npm 패키지에 악성 코드가 삽입되었다.




