npm axios 패키지가 악성 원격접속트로jaan을 포함한 버전으로 오염되어 개발자 시스템 침해 발생

Context

axios는 매주 약 1억 회 다운로드되는 널리 사용되는 JavaScript HTTP 클라이언트이다. 이 패키지는 프론트엔드부터 백엔드 시스템까지 광범위하게 사용된다. 공급망 공격은 프로젝트 코드 자체가 아닌 의존성 관리를 통해 발생했다.

Technical Solution

• 유지관리자 계정 탈취 → jasonsaayman 계정의 이메일 변경 및 패키지 수동 배포
• 의존성 오염 → plain-crypto-js@4.2.1 의존성을 추가하여 설치 시 백도어 코드 실행
• CI/CD 우회 → GitHub Actions 파이프라인을 우회하고 npm CLI로 직접 패키지 게시
• 크로스플랫폼 백도어 → macOS는 시스템 데몬으로 , Windows는 PowerShell 활용, Linux는 Python 백도어 사용
• 흔적 삭제 → 공격 흔적을 자체 삭제하는 자가 파괴 기능 구현

Impact

100만 명 이상의 개발자 환경이 잠재적 감염 위험에 노출되었다.

Key Takeaway

오픈소스 패키지의 공급망 보안은 단순한 의존성 관리 이상으로 계정 보안과 CI/CD 무결성 검증이 필수적이다.