피드로 돌아가기
Lone attacker published 14 malicious npm packages mimicking popular OpenSearch, Elasticsearch libraries
The RegisterThe Register
Security

Typosquatting 기반 14개 악성 npm 패키지의 Cloud Credential 탈취 공격 분석

Lone attacker published 14 malicious npm packages mimicking popular OpenSearch, Elasticsearch libraries

2026년 5월 29일3intermediate

AI 요약

Context

오픈소스 생태계의 Supply Chain 취약점을 이용해 개발자 환경의 Cloud 및 CI/CD Secret을 탈취하려는 시도 발생. Typosquatting 및 메타데이터 위조를 통해 신뢰도를 높여 개발자가 무심코 설치하도록 유도한 설계 구조임.

Technical Solution

  • Typosquatting 및 유사 명명법을 통한 사회 공학적 설치 유도
  • package.json 내 홈페이지 및 저장소 필드를 공식 프로젝트 주소로 위조하여 신뢰성 확보
  • 버전 숫자를 비정상적으로 높게 설정하여 성숙한 릴리스 이력을 가진 패키지로 오인 유도
  • preinstall hook을 활용해 npm install 즉시 악성 Stager를 자동 실행하는 트리거 구조 설계
  • Gen-1 Stager의 호스트 정보 수집 후 C2 서버를 통한 195 KB 규모의 Bin Payload 동적 배포
  • Gen-2 Stager의 Bun runtime v1.3.13 자동 설치 및 실행을 통한 탐지 회피 및 Payload 최적화

실천 포인트

1. npm install 시 패키지 명칭의 오타 여부를 검증하는 Typosquatting 방지 프로세스 도입

2. CI/CD 파이프라인 내에서 preinstall, postinstall 등 위험한 lifecycle hook 실행 제한 설정

3. AWS IAM/STS, HashiCorp Vault, GitHub Actions 등 Cloud Secret의 주기적 Rotation 강제화

4. 신뢰할 수 없는 패키지 설치 방지를 위한 Private Registry 또는 Lock 파일 무결성 검증 강화

태그

#Supply Chain Attack#Typosquatting#CI/CD Security#npm Hooks#Credential Harvesting
원문 읽기