Axios 공급망 공격 분석, npm install의 맹점과 방어 전략

Context

Axios 유지보수 계정 탈취를 통한 악성 패키지 배포 사건 발생. npm install 라이프사이클의 암시적 신뢰를 악용한 공급망 공격 형태. 개발자 로컬 환경 및 CI/CD 서버의 권한 탈취를 목표로 설계된 공격 구조.

Technical Solution

• plain-crypto-js라는 정상 라이브러리 복제본을 먼저 배포하여 보안 스캐너의 신규 계정 경고 우회
• postinstall 훅을 통해 setup.js 드롭퍼를 실행하는 트리거 구조 설계
• Base64 역순 정렬과 XOR 암호를 조합한 2단계 난독화로 정적 분석 도구 탐지 회피
• OS별 맞춤형 페이로드 경로 지정 및 Apple 시스템 데몬이나 Windows 터미널로 위장한 바이너리 설치
• GitHub Actions의 OIDC Trusted Publisher 검증 과정을 생략한 강제 npm publish 방식으로 배포
• 실행 후 흔적을 지우는 anti-forensic 커버 파일 교체 전략 적용

Impact

• 주간 다운로드 수 100 million 회 이상의 거대 생태계 타격
• 공격 노출 시간 3시간 미만의 짧은 윈도우 내 수십만 건의 설치 영향
• 악성 버전 배포 후 탐지 및 제거까지 소요된 시간 약 3시간

Key Takeaway

의존성 트리의 암시적 신뢰를 제거하고 설치 시점의 실행 권한을 최소화하는 제로 트러스트 기반의 패키지 관리 체계 필요.