Axios npm 패키지 공급망 공격 발생, 환경 변수 유출 주의

Context

Axios npm 패키지의 최근 패치 버전에 악성 코드 주입 발생. 빌드 과정에서 데이터베이스 비밀번호와 API 키 등 환경 변수를 외부 서버로 전송하는 설계. 수천만 회의 주간 다운로드 수를 가진 라이브러리의 공급망 공격 사례.

Technical Solution

• npm 보안 팀의 감염 버전 롤백 및 플래그 처리
• 유출 가능성이 있는 데이터베이스 키와 인증 토큰의 전면 로테이션 수행
• package-lock.json을 통한 의존성 버전 고정 전략 적용
• 맹목적인 dependency update 지양 및 버전 변경 전 검증 절차 강화
• 외부 라이브러리 의존도를 낮추기 위한 native fetch API 전환 검토

Key Takeaway

신뢰하는 오픈소스 라이브러리라도 공급망 공격의 대상이 될 수 있음을 인지하고 의존성 잠금과 지속적인 보안 모니터링 체계를 구축하는 설계 원칙 필요.