JavaScript 공급망 공격 개요
최근 주요 JavaScript 공급망 공격이 수백 개의 소프트웨어 패키지를 타격했으며, 이 중 최소 10개는 암호화 생태계에서 널리 사용되고 있다고 사이버 보안 회사 Aikido Security의 새로운 연구에서 밝혀졌습니다. 월요일에 발표된 보고서에서 Aikido Security의 연구원 Charlie Eriksen은 현재 진행 중인 JavaScript NPM 라이브러리 공급망 공격에 사용되는 자가 복제 악성코드 “Shai Hulud”에 감염된 징후를 보이는 400개 이상의 패키지 이름을 공유했습니다.
공격의 영향
Eriksen은 잘못된 긍정 결과를 피하기 위해 각 탐지를 철저히 검증했다고 밝혔습니다. 관련된 많은 암호화 패키지는 매주 수만 번 다운로드되며, 이들이 기능하기 위해 필요한 수많은 다른 패키지들이 존재합니다. 오늘 아침에 게시된 X 포스트에서 Eriksen은 Ethereum Name Service (ENS) 팀에 그들의 여러 패키지가 영향을 받았다고 경고했습니다.
“이번 Shai Hulud 공격의 범위는 솔직히 말해 방대하다; 우리는 여전히 모든 것을 확인하기 위해 대기열을 처리하고 있다.” – Charlie Eriksen
Shai Hulud는 더 넓은 공급망 공격 추세의 일환으로, 9월 초에는 지금까지 보고된 가장 큰 NPM 공격에서 해커들이 단 5천만 달러의 암호화 자산을 훔쳤습니다. Amazon Web Services는 이 첫 공격이 발생한 지 단 일주일 만에 Shai-Hulud 웜이 자율적으로 퍼지기 시작했다고 언급했습니다.
영향을 받은 암호화 패키지
영향을 받은 모든 패키지 중 최소 10개는 암호화 산업과 특별히 관련이 있으며, 거의 모든 패키지가 인간이 읽을 수 있는 주소 이름 서비스인 ENS와 연결되어 있습니다. 영향을 받은 패키지 중에는 ENS의 콘텐츠 해시가 있으며, 이는 주간 다운로드 수가 거의 36,000회에 달하고, 이에 의존하는 91개의 소프트웨어 패키지가 있습니다.
또한 주소 인코더는 주간 다운로드 수가 37,500회를 넘습니다. 영향을 받은 다른 ENS 패키지로는 ensjs(주간 다운로드 수 30,000회 이상), ens-validation(주간 다운로드 수 1,750회), ethereum-ens(주간 다운로드 수 12,650회), ens-contracts(주간 다운로드 수 거의 3,100회)가 있습니다. ENS와 관련이 없는 암호화 패키지인 crypto-addr-codec도 타격을 받았으며, 다운로드 수는 거의 35,000회에 달합니다.
비암호화 패키지의 영향
비암호화 관련 패키지 중에는 Zapier라는 기업 자동화 플랫폼에서 제공하는 일부 패키지가 포함되어 있으며, 이 중 하나는 주간 다운로드 수가 40,000회를 넘고, 그 외에도 많은 패키지가 뒤따르고 있습니다. 이후 게시물에서 Eriksen은 감염된 다른 패키지들을 지적했으며, 일부는 주간 다운로드 수가 거의 70,000회에 달하고, 또 다른 패키지는 주간 다운로드 수가 150만 회를 넘는 것으로 나타났습니다.
사이버 보안 회사 Wiz의 연구원들은 “약 350명의 고유 사용자에 걸쳐 25,000개 이상의 영향을 받은 저장소를 발견했으며, 지난 몇 시간 동안 매 30분마다 1,000개의 새로운 저장소가 지속적으로 추가되고 있다”고 주장했습니다. 이 회사는 npm을 사용하는 모든 환경에 대해 “즉각적인 조사 및 수정”을 권장하고 있습니다.
