메인 관리자 계정 탈취로 악성 패치 버전(1.14.1 및 0.30.4) 공식 배포
윈도·맥·리눅스 동시 타격해 암호화폐 탈취, 클라우드 자격 증명 탈취 시도

[보안뉴스 조재호 기자] 주간 다운로드 수 1억건을 넘는 세계 최대 자바스크립트(JavaScript) 라이브러리 ‘액시오스’(Axios)가 해킹돼 크로스 플랫폼을 노린 악성코드가 유포되는 초대형 공급망 공격이 발생했다.

구글 위협 인텔리전스 분석 결과, 이번 사태 배후엔 무기 자금 확보를 위해 암호화폐 탈취를 일삼는 북한 연계 해킹 조직 ‘UNC1069’가 개입한 것으로 판단된다.


지난달 31일(현지시각) 구글 위협인텔리전스그룹(GTIG)과 트렌드마이크로 등 분석에 따르면 이번 사태는 액시오스 메인 관리자의 npm 계정이 탈취당하면서 시작됐다. 해커는 정상적 보안 검수 및 인증 절차를 건너뛰고, 훔쳐낸 관리자 권한을 이용해 최신 악성 버전(1.14.1 및 0.30.4)을 공식 레지스트리에 직접 배포했다.

액시오스는 웹 브라우저나 스마트폰 앱이 서버와 원활하게 데이터를 주고받을 수 있도록 연결해 주는 핵심 ‘데이터 통로’ 역할을 하는 오픈소스 소프트웨어다. 최근 세계 거의 모든 웹 개발 환경에 두루 쓰이는 만큼 파급이 우려된다.

이번 공격의 핵심은 ‘plain-crypto-js’(버전 4.2.1)라는 위장 의존성 패키지다. 개발자나 자동화 빌드 시스템이 오염된 버전을 설치하면 훅(Hook) 스크립트가 즉시 실행돼 클라우드 접근키, 데이터베이스 비밀번호 등 민감한 자격 증명을 훔치고, 해커에게 지속적 백도어 접근 권한을 제공한다. 감염 직후 스스로 설치 흔적을 지우고 패키지 메타데이터를 정상 버전으로 덮어쓰는 등 포렌식 탐지를 우회하는 고도화된 은폐 기법까지 적용됐다.

구글은 이번 해킹을 북한 연계 해킹 그룹 UNC1069의 소행으로 판단했다. 존 헐트퀴스트 구글 위협인텔리전스그룹 수석 분석가는 북한 해커들이 소프트웨어 공급망 공격 경험이 풍부하며, 이를 주로 암호화폐를 훔쳐 국제사회의 제재를 회피하는 데 사용하고 있다고 설명했다.

문제의 악성 패키지는 npm 보안팀에 의해 강제 삭제되기 전까지 약 3시간 동안 온라인에 방치됐다. 3월 31일 오전 시간대 구동된 파이프라인에서 악성 버전을 내려받았을 경우 시스템 전면 재구축 및 모든 API 키 즉각 교체 등 강도 높은 사후 조치가 필요하다고 보안 전문가들은 권고했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>