Node-IPC 패키지의 세 가지 버전에서 개발자의 비밀 정보를 탈취하는 백도어 스틸러가 발견되었습니다. 1.0.0, 1.0.1 및 1.0.2 버전에는 API 키, 액세스 토큰 및 환경 변수를 추출하는 악성 코드가 포함되어 있었습니다. 이 악성코드는 조용히 작동하여 데이터를 원격 서버로 전송했습니다. 이 사건은 소프트웨어 공급망의 취약성을 드러냅니다.
악성 코드의 기술적 분석 🔍
악성 코드는 패키지 설치 시 활성화되어 감염된 시스템의 정보를 수집하는 스크립트를 실행했습니다. Node.js 함수를 사용하여 환경 변수와 구성 파일을 읽고 데이터를 원격 엔드포인트로 유출했습니다. 공격자는 스틸러가 로그에 명백한 흔적을 남기지 않도록 은밀하게 설계했습니다. 보안 커뮤니티에서는 npm 생태계에서 유사한 위협을 탐지하기 위해 종속성을 감사하고 정적 분석 도구를 사용할 것을 권장합니다.
프로젝트에 아무도 원하지 않은 깜짝 선물 🎁
IPC 프로세스를 관리하는 것 외에도 스파이 역할을 하여 토큰을 기념품처럼 가져가기로 결정한 패키지가 바로 모든 개발자에게 필요한 것입니다. 이제 Node-IPC는 프리미엄 기능을 제공합니다: 설치하고 추가 비용 없이 자격 증명을 도난당하는 기능입니다. 해커 영화에 나온 듯한 기분을 느끼고 싶었다면, 이미 성공했습니다. 다행히 패키지가 하드 드라이브를 지우지는 않았으므로, 적당한 선물이라고 부를 수 있겠네요.