요약 : 보안 외신 해커뉴스에 의하면 악성 NPM 패키지를 통해 수백 개의 개발자용 SSH키가 유출됐다고 한다. 이 사건에 연루된 악성 NPM 패키지는 총 2개로, warbeast2000과 kodiak2k다. 이번 달 초 NPM에 처음 등록됐으며 NPM 관리자 측에서 삭제하기 전까지 각각 412회와 1281회 다운로드 됐다. 둘은 아무런 악성 기능을 가지고 있지 않지만, 사용자가 시스템에 설치해 실행시키면 원격에서 악성 파일을 불러온다. 깃허브에 호스팅 되어 있는 자바스크립트 파일이 이 둘을 통해 설치되고, 자바스크립트 파일은 개발자의 SSH키를 빼돌리는 것으로 분석됐다.


배경 : 코드와 패키지가 공유되는 리포지터리는 개발자들 사이에서 널리 활용되는 수준을 넘어, 이제는 모든 개발 행위의 필수 요소로 자리를 잡았다. 이에 해커들은 리포지터리에 악성 코드와 패키지를 공유함으로써 개발자들의 개발 환경 자체를 감염시키고, 그럼으로써 그런 개발자들이 개발하는 소프트웨어들이 처음부터 악성 기능을 탑재하도록 꾀하고 있다. 일종의 공급망 공격인데, 개발자 개개인이 다운로드 받는 코드를 면밀히 검사하는 것 외에는 획기적인 방어법이 없다.

말말말 : “악성 패키지들이 지금은 NPM 리포지터리에서 내려간 상태이지만 이미 인터넷 상에 다양한 버전으로 돌아다니고 있습니다. warbeast2000의 경우 8개 버전이, kodiak2k의 경우 30개 이상의 버전이 존재하는 것으로 파악됩니다.” -리버싱랩스(ReversingLabs)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>