TanStack 공급망의 보안 사고가 기술 커뮤니티에 경보를 울렸습니다. 이 공격은 OpenAI 직원 두 명의 장치를 손상시키는 데 성공했으며, 회사는 macOS 시스템에 긴급 업데이트를 배포해야 했습니다. 이 사례는 악의적인 행위자가 대상 회사를 직접 공격하지 않고도 타사 종속성을 통해 침투할 수 있는 방법을 보여줍니다.
타사 종속성을 악용하는 방법 🛡️
소프트웨어 공급망은 반복적인 공격 벡터입니다. 이 경우, 공격자는 JavaScript 생태계에서 널리 사용되는 라이브러리인 TanStack의 구성 요소에 악성 코드를 주입했습니다. 종속성을 업데이트하는 과정에서 OpenAI 개발자들은 모르게 페이로드를 다운로드했습니다. 일단 내부로 침투한 공격자는 두 대의 Mac에서 로컬 데이터에 접근했습니다. OpenAI는 시스템을 패치하고 macOS에서 실행 권한을 검토하여 승인되지 않은 프로세스를 제한함으로써 대응했습니다. 교훈은 분명합니다: 모든 종속성을 감사하는 것은 선택이 아니라 필수입니다.
맹목적으로 모든 것을 업데이트하는 재미있는 측면 😅
이 사건이 우리에게 가르쳐주는 것이 있다면, npm install을 맹목적으로 신뢰하는 것은 낯선 사람에게 코드 검토를 요청하는 것과 같다는 것입니다. OpenAI는 누군가가 변경 로그를 읽지 않고 라이브러리를 업데이트하는 것이 좋은 생각이라고 판단했기 때문에 두 대의 Mac에서 불을 꺼야 했습니다. 이제 매주 1,000만 건의 다운로드가 있는 패키지를 볼 때마다 기억하세요: 그것은 또한 당신의 하루를 망칠 수 있는 1,000만 가지 방법을 가지고 있을 수도 있습니다.