인증을 우회하고 정보를 노출시키는 NPM 취약점, 재빨리 해결한 깃허브

요약 : 깃허브(GitHub)가 NPM에서 발견된 위험한 취약점 2개를 상세히 공개하며 패치했다. 하나는 누구나 인증 없이 새 NPM 패키지를 퍼블리시 할 수 있게 해 주는 것이며, 다른 하나는 데이터 유출을 유발하는 취약점이다. 전자는 외부 전문가가 발견했고, 후자는 깃허브 내부 인력이 발견했다고 한다. 이 취약점들을 익스플로잇 할 경우 공격자는 데이터를 유출시키거나 악성 NPM 패키지를 유포할 수도 있게 된다.


배경 : NPM은 자바스크립트 프로그래밍 언어를 위한 패키지 관리자다. 여기서 발생하는 공격은 개발자들을 노린 공급망 공격으로 이어질 수 있으며, 따라서 취약점의 파급력이 큰 편이다. 깃허브도 이를 알기 때문에 취약점이 최초로 발견되고 몇 시간 지나지 않아 패치를 개발했다고 한다.

말말말 : “현재 이중 인증 시스템 도입을 진지하게 고려 중에 있습니다. 가장 인기가 높고 많이 사용되는 NPM 패키지들을 중심으로 2022년부터 점진적으로 도입하려고 합니다.” -깃허브-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>