악성 Axios 릴리스 경고
Slow Fog는 악성 Axios 릴리스가 plain-crypto-js 맬웨어를 유포하여 암호화 개발자들을 크로스 플랫폼 RAT와 도난된 자격 증명에 노출시키고 있다고 경고했습니다. 블록체인 보안 회사 Slow Fog는 새로 발표된 [email protected] 및 [email protected] 릴리스가 악성 의존성인 [email protected]를 포함하고 있어, 자바스크립트에서 가장 널리 사용되는 HTTP 클라이언트 중 하나가 암호화 개발자에 대한 공급망 공격의 도구로 전환되었다고 긴급 보안 알림을 발표했습니다.
공급망 공격의 영향
Axios는 npm에서 주간 8천만 회 이상의 다운로드를 기록하고 있어, 짧은 시간의 타협조차도 지갑 백엔드, 거래 봇, 거래소 및 Node.js 기반의 DeFi 인프라에 심각한 영향을 미칠 수 있습니다. Slow Fog는 권고문에서 “npm install -g를 통해 [email protected]를 설치한 사용자들은 잠재적으로 노출될 수 있다”고 경고하며, 즉각적인 자격 증명 회전과 타협의 징후에 대한 철저한 호스트 측 조사를 권장했습니다.
악성 패키지의 작동 방식
이 공격은 가짜 암호화 패키지인 [email protected]에 의존하며, 이는 새로운 의존성으로 조용히 추가되어 오직 난독화된 postinstall 스크립트를 실행하기 위해 사용되며, Windows, macOS 및 Linux 시스템을 대상으로 하는 크로스 플랫폼 원격 접근 트로이 목마를 배포합니다.
보안 회사 StepSecurity는 “악성 버전은 Axios 자체에 악성 코드 한 줄도 포함하고 있지 않다”고 설명하며, 대신 “두 버전 모두 가짜 의존성인 [email protected]를 주입하여, 그 유일한 목적은 postinstall 스크립트를 실행하여 크로스 플랫폼 원격 접근 트로이 목마(RAT)를 배포하는 것”이라고 밝혔습니다.
공격의 배경
Socket의 연구팀은 악성 plain-crypto-js 패키지가 타협된 Axios 릴리스 몇 분 전에 게시되었으며, 이를 자바스크립트 생태계에 대한 “조정된 공급망 공격”이라고 언급했습니다. StepSecurity에 따르면, 악성 Axios 릴리스는 주요 유지 관리자인 “jasonsaayman”의 도난당한 npm 자격 증명을 사용하여 푸시되었으며, 공격자들은 프로젝트의 일반적인 GitHub 기반 릴리스 흐름을 우회할 수 있었습니다.
“[email protected]에서의 실시간 공급망 타협으로, 이는 몇 시간 전에 게시된 [email protected]에 새롭게 의존하고 있으며, 이는 셸 명령을 실행하고 흔적을 지우는 난독화된 맬웨어로 확인되었습니다,” 보안 엔지니어 Julian Harris가 LinkedIn에 썼습니다.
현재 상황과 권고 사항
npm은 이제 악성 버전을 제거하고 Axios 해상도를 1.14.0으로 되돌렸지만, 공격 기간 동안 1.14.1 또는 0.3.4를 가져온 환경은 자격 증명이 회전되고 시스템이 재구성될 때까지 위험에 처해 있습니다. 이 타협은 암호화 사용자들을 직접 겨냥한 이전 npm 사건을 떠올리게 하며, 2025년 캠페인에서는 chalk 및 debug와 같은 18개의 인기 패키지가 조용히 지갑 주소를 바꿔 자금을 훔쳤고, Ledger CTO Charles Guillemet는 “영향을 받은 패키지는 이미 10억 회 이상 다운로드되었다”고 경고했습니다.
현재 Slow Fog의 조언은 간단합니다: Axios를 1.14.0으로 다운그레이드하고, [email protected] 또는 openclaw의 흔적이 있는지 의존성을 감사하며, 해당 환경에서 다룬 모든 자격 증명은 타협된 것으로 간주하십시오.
결론
이 사건은 자바스크립트 공급망 공격의 심각성을 다시 한번 일깨워 주며, 개발자들은 항상 의존성을 주의 깊게 관리하고, 의심스러운 패키지에 대한 경계를 늦추지 않아야 합니다.
