axios 공급망 공격 분석과 실시간 패키지 검증 전략

Context

axios 메인 유지관리자 계정 탈취를 통한 악성 버전 배포 사건 발생. npm install 과정에서 RAT(Remote Access Trojan)가 설치되어 SSH 키와 클라우드 인증 정보가 유출되는 구조. 기존 CVE 기반 보안 도구의 탐지 지연으로 인한 보안 공백 노출.

Technical Solution

• 계정 이메일 변경 후 악성 패키지 plain-crypto-js를 사전 배포하여 정상적인 배포 이력 위장
• axios 최신 및 레거시 태그에 악성 의존성을 주입하여 개발자 환경 내 postinstall 스크립트 자동 실행
• OS별 맞춤형 RAT 바이너리 다운로드 및 C2 서버 연결을 통한 기밀 정보 수집 자동화
• 설치 완료 후 package.json을 재작성하여 악성 코드 흔적을 삭제하는 자기 정화 로직 구현
• 설치 스크립트 실행 전 로컬에서 200ms 이내에 위협 DB, Typosquatting, 스크립트 패턴, 버전 이상 수치를 검증하는 Ward 도구 도입
• AI 코딩 어시스턴트의 자동 설치 명령을 가로채어 검증하는 인터셉터 훅 설계

Impact

• 악성 패키지 배포 후 보안 권고문 발행까지 12시간 이상의 탐지 공백 발생
• Ward 도구를 통한 로컬 패키지 검증 속도 200ms 미만 달성
• 42개 이상의 실제 공격 사례를 포함한 위협 데이터베이스 구축

Key Takeaway

반응형 보안 도구의 한계를 인정하고 설치 전 단계에서 동작하는 선제적 행동 분석 및 정적 검증 체계 구축의 필요성.