우리는 정말 큰 위협을 피했음

• 최근 NPM 패키지 생태계에서 발생한 공급망 공격이 실제로는 더 큰 피해를 야기할 수 있었음
• 공격자는 인기 있는 라이브러리를 악용해 암호화폐 지갑 주소를 변경하는 방향으로만 악성코드를 사용함
• 이 공격은 정교한 피싱 이메일을 통해 개발자의 2단계 인증 정보를 탈취하는 방식으로 이루어졌음
• 만약 더 치명적인 형태(예: API 키 탈취 등)로 사용됐다면 막대한 피해 가능성이 존재함
• 모든 의존성이 잠재적으로 위험하다는 인식과 전체 의존성 트리 이해의 중요성을 강조함

공격 개요 및 우려

• 최근 가장 큰 패키지 생태계 중 하나인 NPM에서 인기 패키지가 공격에 노출되었음
  • 예시 기능: 터미널 색상 처리, 색상 이름-RGB 매핑, 함수 디버깅 데코레이터, 배열 유사 값 판별 유틸리티 등
• 이런 일반적인 의존성들은 광범위하게 사용되며, 코드가 유입되면 곧바로 프로덕션 환경에 배포될 가능성이 큼
• 만약 악성 프록시, API 키 탈취, 기타 심각한 공격이 포함됐더라면 결과는 훨씬 심각해졌을 위험이 있었음
• 실제로는 해당 악성코드가 온라인 지갑(예: MetaMask)에서 암호화폐 결제 주소만 변조하는 방식이었음

피싱 공격의 정교함

• 공격의 출발점은 매우 잘 만들어진 피싱 이메일이었음
  • NPM 사용자명을 활용해 개인화된 인상을 주는 방식
  • "보안을 위해 비밀번호와 2차 인증 자격 증명을 변경"하라는 메시지로 신뢰 유도
  • NPM의 특이한 운영 방식과 맞물려 평범한 사용자라면 쉽게 속을 수 있는 내용 구성
  • 특정 기한을 명시해 긴급성을 부여, 바쁜 상황에서 방심한 상태로 피싱 링크 클릭 유도
  • 실제 NPM 공식 도메인과 유사한 .help 도메인을 활용
• 두드러지는 부분은 공식 도메인 대신 "npmjs.help"을 쓰는 정도였음
  • 요즘은 다양한 신규 gTLD(Generic Top Level Domain)가 블로그나 문서 등에 광범위하게 활용되고 있어, 이 역시 자연스럽게 보일 수 있음

공격의 잠재적 피해

• 피싱 이메일은 사용자의 2단계 인증 정보를 탈취한 후, 공격 코드를 삽입해 신규 패키지 배포가 가능했음
• is-arrayish, color-string, color-name 등 매우 널리 사용되는 대표 라이브러리가 대상이었음
  • 만약 악성코드가 단순 암호화폐 가로채기뿐 아니라, API 키 탈취 등으로 확대되었다면 치명적 결과 초래 가능
  • 예를 들어 OpenAI, AWS API 키 대량 노출 등, 장기적이고 대규모 피해가 나올 수 있었음
• 실제로 대부분의 감염된 라이브러리는 커맨드라인 툴에서 주로 쓰이고 있어, 암호화폐 탈취 목적은 그만큼 제한적이었음

Web3 생태계 겨냥 및 공격자의 전략

• 이번 공격은 Web3 사용자(브라우저로 결제 등)를 주 타깃으로 한 것으로 보임
  • Web3와 관련 없는 범용 라이브러리를 공격 대상으로 삼아, Web3 생태계의 빠른 인지와 차단 가능성을 피해감
  • 예: Metamask와 연동하는 라이브러리를 주의 깊게 점검하더라도, text color 관련 유틸리티에서 공격이 일어나리라고는 예측 어려움

개발 생태계의 교훈

• 이번 사례로 모든 의존성 패키지가 실제로 악성일 수 있다는 점이 강조됨
  • 의존성 트리를 항상 전적으로 통제하거나 모니터링하는 데는 현실적 한계가 존재
  • 빠른 프로덕션 배포 흐름과 시간적 압박 속에서 보안적 검토가 뒷전으로 밀릴 수밖에 없음을 시사
• 앞으로는 프로젝트의 전체 의존성 구성 파악과 신중한 관리의 중요성 증대

마무리 및 안내

• 본 내용은 특정인을 비난하거나 책임을 묻지 않으며, 누구나 피싱 공격에 노출될 수 있음을 인지하는 것이 중요함
• 이 포스트의 게시 이후로 상황 변화가 있을 수 있으니, 내용 오류나 의문이 있을 시 직접 확인 요청 필요

Tags: