axios@1.14.1, axios@0.30.4 버전이 해킹당했습니다.

Context

axios는 JavaScript 환경에서 널리 사용되는 HTTP 클라이언트 라이브러리로, npm에서 주당 1억회 이상 다운로드되는 인기 패키지입니다. 이번 해킹 사고로 해당 특정 버전을 설치한 개발자의 환경에서 악성코드가 실행될 수 있는 심각한 보안 문제가 발생했습니다.

Technical Solution

• npm install 명령어 실행 시 axios@1.14.1 또는 axios@0.30.4 버전이 설치되면 악성코드 설치 가능
• Security 전문가가 StepSecurity 블로그를 통해 해당 보안 취약점 공개 및 경고
• 버전 설치 시 즉시 삭제 및 의존성 재설치 권고 -패키지 무결성 검증을 위한 별도 보안 도구 활용 권장

Impact

• 주당 1억회 이상의 다운로드 횟수를 자랑하는 라이브러리 특성상, 피해 범위가 광범위할 것으로 예상됨

Key Takeaway

npm 공개 패키지는 코드 검토 없이 의존성으로 추가할 경우, 개발 환경 전체가 공격자에 노출될 수 있습니다. 특히 인기 라이브러리의 취약 버전 관리는 보안 사고의 첫 번째 방어선입니다.