Axios HTTP 클라이언트의 유지관리자들은 최근 북한 해커 조직과 연계된 소셜 엔지니어링 공격에 의해 개발자 계정이 탈취되어 악성 버전(1.14.1, 0.30.4)이 npm에 배포된 사건의 경위를 공개하였다. 해당 악성 버전은 약 3시간 동안 배포되었으며, plain-crypto-js라는 의존성을 통해 원격 액세스 트로이 목마(RAT)를 설치하여 macOS, Windows, Linux 시스템을 감염시켰다. Axios 측은 영향을 받은 시스템을 초기화하고 모든 인증 정보를 재설정했으며, Google Threat Intelligence Group은 이번 공격을 UNC1069로 추적되는 북한 해커 조직의 소행으로 분석하였다.
공격은 수주 전부터 시작된 정교한 소셜 엔지니어링으로, 해커들은 실제 기업을 사칭해 Slack 워크스페이스로 유지관리자를 유인하고, Microsoft Teams 화상회의 중 가짜 오류 메시지를 띄워 악성 Teams 업데이트를 설치하도록 유도했다. 이 과정에서 RAT가 설치되어 npm 인증 정보가 탈취되었으며, MFA(다중 인증)도 우회되었다. 이와 유사한 방식으로 Mocha 프레임워크 등 여러 오픈소스 프로젝트의 유지관리자들도 표적이 되었으나, 일부는 추가 명령 실행을 거부해 피해를 막았다.
보안업체 Socket은 이번 사건이 Axios만을 겨냥한 것이 아니라, Node.js 생태계의 주요 패키지 유지관리자들을 대상으로 한 조직적이고 확장 가능한 공격 패턴임을 확인했다. 공격자들은 LinkedIn, Slack 등에서 접촉 후 신뢰를 쌓고, 화상회의 중 악성 소프트웨어 설치나 명령 실행을 유도하는 일관된 수법을 사용했다. 이러한 공급망 공격은 점점 더 널리 퍼지고 있으며, 고신뢰·고영향 오픈소스 프로젝트가 주요 표적이 되고 있다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.