axios 해킹 사건이 AI 코딩 어시스턴트의 자동 의존성 설치가 숨기는 보안 위험을 노출시켰다

Context

npm 생태계는 100M 주간 다운로드와 80% 클라우드 점유율을 가진 axios 패키지를 확보하고 있다. AI 코딩 어시스턴트는 기능 작동 여부만 검증하며 의존성 안전성은 확인하지 않는다. 이 간극이 Supply Chain 공격의 침투 경로가 된다.

Technical Solution

• [package.json] → [^와 ~ 캐롯 범위 제거]하여 정확한 버전만 설치하도록 변경
• [.npmrc] → [npm config set save-exact true 설정]으로 이후 모든 설치 시 자동 버전 고정
• [CI/CD 파이프라인] → [npm install을 npm ci로 교체]하여 lockfile 불일치 시 즉시 실패 발생
• [CI 환경] → [npm config set ignore-scripts true 설정]으로 lifecycle scripts 실행 차단
• [의존성 관리] → [npm ls --depth=5 실행]으로 신규 transitive dependency 감시

Impact

axios@1.14.1 악성 버전 설치 시 2초 이내 Windows, macOS, Linux 전체에 RAT 실행

Key Takeaway

AI 코딩 어시스턴트는 향상을 위한 도구이지 보안 검토자가 아니다. npm install을 신뢰하는 것은 점진적으로 위험해지는 도박이다.