요약 : 보안 외신 해커뉴스에 의하면 악성 npm 패키지 두 개가 유통되고 있다가 적발됐다고 한다. 이름은 img-aws-s3-object-multipart-copy와 legacyaws-s3-object-multipart-copy이며, 각각 190회와 48회 다운로드 됐다고 한다. 지금은 npm의 보안 팀이 두 패키지 모두를 삭제한 상태다. 둘 다 고급 C&C 기능을 탑재하고 있었으며, 이는 두 패키지를 다운로드 한 사용자가 패키지를 설치하는 과정 중에 몰래 실행되는 것으로 분석됐다. 원래 npm에는 aws-s3-object-multipart-copy라는 정상 패키지가 있으며, 공격자들이 이것과 비슷한 이름의 악성 패키지를 일부러 만들어 심어둔 것으로 추정된다.


배경 : 최근 들어 공격자들은 개발자들을 집중적으로 공략하고 있다. 개발자들의 개발 환경에 침투해 들어가거나, 개발자들이 자주 드나드는 공공 리포지터리들에 악성 패키지를 설치하는 방식이 주로 사용된다. 깃허브나 PyPI, npm 등은 악성 공격자들이 단골로 나타나는 곳이다. 최근에는 도커 이미지가 공유되는 도커허브(Docker Hub)에도 악성 패키지 유포 시도가 자주 나타난다.

말말말 : “최근 악성 패키지가 공공 저장소를 통해 유포되는 일이 더 많아지고 있습니다. 개발자들을 대상으로 한 보안 교육과 인식 제고 훈련이 시급합니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>