아카이브사이트맵
© 2026 Rayon. All rights reserved.
DevDay
아티클랭킹스페이스채용
해커뉴스 favicon해커뉴스

Axios npm 패키지 탈취, 3억 건 다운로드 HTTP 클라이언트의 치명적 공급망 공격

by DD
2026-03-31
3개월 전
조회수 112

Axios의 npm 계정 탈취를 통해 악성 버전(1.14.1, 0.30.4) 배포, 원격 접근 트로이목마(RAT) 삽입

plain-crypto-js@4.2.1 의존성 주입, postinstall 스크립트를 통한 멀웨어(Malware) 실행 및 C2 서버 연결

공격자는 계정 탈취, 악성 의존성 사전 준비, 코드 난독화(Obfuscation) 등 고도화된 공격 기법 사용

pnpm/bun 사용자는 postinstall 스크립트 실행을 수동으로 승인해야 하므로 피해를 예방 가능

공격 방식: 계정 탈취 및 악성 코드 삽입

공격자는 Axios의 핵심 개발자 계정을 탈취하여 악성 코드를 삽입한 버전을 배포했다. 특히, GitHub Actions CI/CD 파이프라인(Pipeline)을 우회하여 npm CLI를 통해 직접 패키지를 게시했다는 점이 특징이다. 악성 코드는 plain-crypto-js@4.2.1이라는 가짜 의존성을 통해 삽입되었으며, 이 패키지의 postinstall 스크립트는 다중 플랫폼(Multi-Platform)을 타겟으로 하는 RAT를 실행한다.

영향: 3억 건 다운로드 라이브러리의 광범위한 피해

Axios는 주간 3억 건 이상 다운로드되는 JavaScript 생태계의 핵심 라이브러리이므로, 이번 공격의 파급력은 매우 크다. 공격에 성공한 버전은 macOS, Windows, Linux 등 다양한 운영체제를 대상으로 하며, 설치 후 자체 삭제 및 정상 버전으로 위장하는 은폐 기술(Stealth Technique)을 사용한다. 따라서, 감염 여부를 확인하기 어렵게 설계되었다.

대응 방안: 감염 확인 및 추가 피해 방지

만약 axios@1.14.1 또는 axios@0.30.4 버전을 설치했다면, 시스템 감염을 의심하고 즉시 대응해야 한다. 의존성 고정(Dependency Pinning)을 통해 악성 버전으로의 업데이트를 방지하고, plain-crypto-js 패키지를 제거해야 한다. 또한, 감염된 시스템에서는 모든 자격 증명(npm 토큰, AWS 액세스 키 등)을 변경하고, CI/CD 파이프라인에서 악성 버전이 실행된 기록을 확인해야 한다.

보안 강화: 공급망 공격 예방을 위한 노력

이번 공격은 npm 생태계의 공급망 취약성을 여실히 보여준다. StepSecurity는 패키지 릴리스 시점의 보안 검사, 네트워크 트래픽 제한, 그리고 위협 인텔리전스(Threat Intelligence)를 활용하여 공격을 예방할 수 있다고 강조한다. 또한, 2단계 인증(2FA), 최소 릴리스 기간 설정, 그리고 CI/CD 파이프라인에서 --ignore-scripts 옵션 사용 등 개발 환경 전반의 보안 강화가 필요하다.

Axios compromised on NPM – Malicious versions drop remote access trojan
고급
Security
JavaScript
npm
Backend
원문 읽기
원문 읽기

댓글 0

첫 번째 댓글을 남겨보세요!

관련 추천 글

npm 공급망 공격, TanStack, Mistral AI 등 170개 패키지 피해

레딧 로고

npm 웜(Worm) 확산: 개발 환경을 노리는 공급망 공격

레딧 로고

npm 패키지 공급망 공격: 토큰 탈취, 자체 전파, PyPI 확산 시도!

레딧 로고

Axios 공급망 공격 발생, npm 패키지 보안에 비상!

레딧 로고

axios npm 패키지, 공급망 공격으로 인한 심각한 보안 위협 발생!

레딧 로고

자체 JS 엔진 기반 'Ant' 런타임, 생태계 통합 시도

해커뉴스 로고
해커뉴스 favicon해커뉴스
고급
Security
JavaScript
npm
Backend

관련 추천 글

npm 공급망 공격, TanStack, Mistral AI 등 170개 패키지 피해

레딧 로고

npm 웜(Worm) 확산: 개발 환경을 노리는 공급망 공격

레딧 로고

npm 패키지 공급망 공격: 토큰 탈취, 자체 전파, PyPI 확산 시도!

레딧 로고