피드로 돌아가기
Axios Compromise: What Actually Happened
Dev.toDev.to
Security

Axios 1.3.2 공급망 침해를 통한 환경변수 유출 및 Artifact 무결성 검증의 중요성

Axios Compromise: What Actually Happened

RC2026년 4월 20일4advanced

AI 요약

Context

GitHub 소스 트리와 npm Registry 배포 Artifact 간의 불일치를 이용한 Supply Chain Attack 발생. 정적 분석 도구가 소스 코드만 검사하는 한계로 인해 배포본에 삽입된 악성 페이로드를 탐지하지 못한 구조적 결함 존재.

Technical Solution

  • npm Maintainer 계정 탈취를 통한 정당한 권한 기반의 Trojaned Release 배포
  • Source Tree는 유지한 채 컴파일된 dist/ 번들에만 악성 코드 주입으로 SAST 탐지 우회
  • 애플리케이션 첫 HTTP Request 시점에 process.env 전체를 탈취하여 외부 endpoint로 POST 전송
  • Node.js 프로세스 권한을 그대로 상속받아 AWS Access Key 등 고권한 자격 증명 유출
  • Artifact 서명 검증 부재 및 Registry 신뢰 기반의 의존성 해결 방식 악용
  • network egress filtering 부재로 인한 비정상적인 외부 통신 허용

실천 포인트

1. CI/CD 파이프라인 내 npm install 대신 lockfile을 엄격히 준수하는 npm ci 사용

2. Artifact Hash 검증을 통한 배포본 무결성 체크 프로세스 도입

3. 애플리케이션 프로세스의 비정상적인 Outbound 통신을 차단하는 Runtime Network Egress Filtering 설정

4. Lockfile 변경 사항에 대한 자동 알림 및 보안 리뷰 단계 추가

5. 최신 npm audit signatures 명령어를 통한 패키지 서명 검증 강제화

태그

#Supply Chain Attack#Egress Filtering#SAST#Artifact Integrity#Zero Trust
원문 읽기