소켓의 위협 연구팀에 따르면, NPM 인덱스에서 60개의 패키지가 발견되었으며, 이들은 호스트와 네트워크 데이터를 수집하고 위협 행위자가 제어하는 Discord 웹훅으로 보내려고 시도했습니다. 이 패키지들은 5월 12일부터 세 개의 발행자 계정에서 NPM 저장소에 업로드되었습니다. 각 악성 패키지는 'npm install' 동안 자동으로 실행되는 post-install 스크립트를 포함하고 있으며, 이 스크립트는 호스트 이름, 내부 IP 주소, 사용자 홈 디렉토리, 현재 작업 디렉토리, 사용자 이름, 시스템 DNS 서버 등의 정보를 수집합니다.
스크립트는 클라우드 제공자와 관련된 호스트 이름, 역 DNS 문자열을 확인하여 분석 환경에서 실행되는지 여부를 판단합니다. 소켓은 두 번째 단계의 페이로드 전달, 권한 상승, 또는 어떤 지속적인 메커니즘도 관찰하지 않았습니다. 그러나 수집된 데이터의 유형을 고려할 때, 대상 네트워크 공격의 위험성은 상당합니다.
- NPM 인덱스에서 60개의 패키지가 발견되었으며, 이들은 호스트와 네트워크 데이터를 수집하고 위협 행위자가 제어하는 Discord 웹훅으로 보내려고 시도했다.
- 각 악성 패키지는 'npm install' 동안 자동으로 실행되는 post-install 스크립트를 포함하고 있으며, 이 스크립트는 호스트 이름, 내부 IP 주소, 사용자 홈 디렉토리, 현재 작업 디렉토리, 사용자 이름, 시스템 DNS 서버 등의 정보를 수집한다.
- 스크립트는 클라우드 제공자와 관련된 호스트 이름, 역 DNS 문자열을 확인하여 분석 환경에서 실행되는지 여부를 판단한다.
- 소켓은 두 번째 단계의 페이로드 전달, 권한 상승, 또는 어떤 지속적인 메커니즘도 관찰하지 않았다.
- 수집된 데이터의 유형을 고려할 때, 대상 네트워크 공격의 위험성은 상당하다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.