러시아 전쟁에 항의한다는 패키지 개발자…공급망 공격 실시해

요약 : 보안 블로그 시큐리티어페어즈에 의하면 유명 npm 패키지인 node-ipc의 개발자 RIAEangelist가 일부러 ‘악성 버전’을 업로드했다고 한다. 러시아의 우크라이나 침략에 항의하는 의미에서다. 러시아와 벨라루스에 있는 시스템들에서 이 패키지가 다운로드 되면 데이터를 삭제하도록 설계되었다고 한다. 10.1.1과 10.1.2 버전이 문제의 악성 버전으로 임의로 파일을 삭제하고 하트 모양 이모티콘으로 대체한다.


배경 : node-ipc는 일종의 노드 모듈로, 로컬 및 원격 프로세스 간 통신을 가능하게 해 주는 기능을 가지고 있다. 리눅스, 맥OS, 윈도 환경 모두에서 널리 사용되며 1주일에 100만 회 이상 다운로드 된다.

말말말 : “개발자는 반전 운동의 일환으로 멀웨어를 업로드했다고 하지만, 결국 현존하는 소프트웨어 공급망의 취약한 고리를 있는 그대로 드러내는 행위이기도 합니다. 공급망 공격을 한 것이나 다름이 없다는 뜻입니다.” -싱크(Synk)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>