Stolen Token을 이용한 npm 패키지 314개 오염 및 Supply Chain Attack 발생

Context

신뢰 기반의 오픈소스 패키지 매니저 생태계에서 단일 계정 탈취를 통한 악성 코드 배포 가능성 확인. 특히 npm의 취약한 계정 인증 체계와 자동화된 배포 파이프라인을 악용한 공급망 공격의 위험성이 증폭됨.

Technical Solution

• Stolen Token 기반의 자동화 툴을 사용하여 22분이라는 짧은 시간 내에 314개 패키지에 악성 코드 주입
• 환경 변수 및 로컬 파일 스캔을 통해 AWS, Azure, Google Cloud, Docker 등 주요 클라우드 플랫폼의 Credential 탈취 로직 구현
• Container Boundary Escape 기법을 적용하여 런타임 환경의 격리를 무력화하고 호스트 시스템 접근 시도
• GitHub Repository를 C2 (Command-and-Control) 서버로 활용하여 외부 명령 수행 및 추가 페이로드 다운로드 경로 확보
• Claude Code 및 Codex 등 AI 코딩 도구의 설정 파일에 악성 스크립트를 삽입하여 실행 유도하는 정교한 Persistence 전략 채택

Impact

• size-sensor (월 4.2M), echarts-for-react (월 3.8M), @antv/scale (월 2.2M) 등 대규모 다운로드 패키지 오염
• 단 22분 만에 314개 npm 패키지에 악성 코드 전파 완료