최근 인기 있는 Node.js 모듈인 node-ipc의 신규 버전에 크리덴셜 탈취 악성코드가 삽입된 공급망 공격이 발생하였다. node-ipc는 다양한 소켓을 통한 프로세스 간 통신을 지원하는 패키지로, 주간 69만 건 이상의 다운로드를 기록하고 있다. 이번 공격은 Socket, Ox Security, Upwind 등 보안 기업에 의해 탐지되었으며, 악성 버전은 node-ipc@9.1.6, node-ipc@9.2.3, node-ipc@12.0.1로 확인되었다.
악성코드는 CommonJS 엔트리포인트에 숨겨져 애플리케이션이 로드될 때 자동 실행된다. 이 코드는 감염된 시스템의 환경 변수, 클라우드 크리덴셜, SSH 키, 데이터베이스 정보, CI/CD 시크릿 등 다양한 민감 정보를 수집하고, 이를 압축하여 DNS TXT 쿼리를 통해 외부로 유출한다. 공격자는 비활성화된 유지관리자 'atiertant'의 계정을 탈취해 악성 버전을 배포한 것으로 추정된다.
이 악성코드는 4MiB 이상의 파일이나 .git, node_modules 디렉터리는 스캔하지 않아 효율성을 높였으며, 수집된 데이터는 임시 압축 파일로 저장 후 유출이 완료되면 삭제하여 포렌식 흔적을 최소화한다. 지속성이나 추가 페이로드 설치 없이 빠른 크리덴셜 탈취와 유출에 집중된 공격으로, 영향을 받은 개발자들은 즉시 해당 버전을 제거하고 노출된 크리덴셜을 교체해야 한다.
요약
- node-ipc npm 패키지의 신규 버전에 크리덴셜 탈취 악성코드가 삽입된 공급망 공격이 발생하였다.
- 악성코드는 다양한 민감 정보를 수집해 DNS TXT 쿼리로 외부에 유출한다.
- 공격자는 비활성화된 유지관리자 계정을 탈취해 악성 버전을 배포하였다.
- 악성코드는 포렌식 흔적을 최소화하며, 추가 페이로드 없이 빠른 정보 유출에 집중한다.
- 개발자들은 즉시 해당 버전을 제거하고 크리덴셜을 교체해야 한다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.