패키지 발행 후 24시간 지연 설치를 통한 Supply Chain Attack 방어

Context

npm 생태계 내 패키지 하이재킹을 통한 악성 코드 유입 사례가 빈번하게 발생함. 기존 npm 설치 프로세스는 최신 버전을 즉시 반영하는 구조로 인해, 악성 버전 배포 후 대응 조치가 이루어지기 전까지의 보안 공백기에 무방비로 노출되는 한계가 있음.

Technical Solution

• 패키지 설치 전 npm Registry API를 통해 최신 버전의 publish timestamp를 확인하는 검증 레이어 설계
• 현재 시간과 발행 시간의 차이가 설정값(기본 1440분) 미만일 경우 설치를 차단하는 Guard 로직 구현
• Semver range 해석 과정을 통해 실제 설치될 구체적인 버전 넘버를 식별한 후 해당 버전의 타임스탬프를 추적하는 정밀 검증 프로세스 도입
• Registry API Rate Limit 문제를 해결하기 위해 한 번 확인된 패키지의 발행 시간 정보를 저장하는 Caching 메커니즘 적용
• Scoped Package(@babel/core 등)의 특수 구문을 처리하기 위해 두 번째 '@' 기호를 기준으로 파싱하는 정규식 최적화
• 특정 신뢰 패키지나 @types/* 와 같은 예외 리스트를 통한 Exclusion 설정을 지원하여 개발 생산성 저하 방지