NPM 패키지, 우크라이나 침공에 항의하기 위해 러시아와 벨로루시의 시스템 삭제하도록 업데이트해

Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion

 

인기 있는 "node-ipc" NPM 패키지의 개발자가 러시아의 우크라이나 침공에 항의하기 위한 새 버전을 출시해 오픈 소스 및 소프트웨어 공급망의 보안과 관련된 우려를 불러일으켰습니다.

 

라이브러리 버전 10.1.1, 10.1.2에 영향을 미치는 이 새로운 변경은 유지 관리자인 RIAEvangelist가 사용자의 IP 주소가 러시아나 벨로루시 내에 있을 경우 임의 파일 내용을 삭제하고 이를 하트 이모티콘으로 교체합니다.

 

Node-ipc는 리눅스, 맥OS, 윈도우를 지원하며 로컬 및 원격 프로세스 간 통신에 사용되는 노드 모듈입니다. 주간 다운로드 수는 110만 건 이상입니다.

 

Synk의 연구원인 Liran Tal은 분석을 통해 아래와 같이 밝혔습니다.

 

"이 NPM 패키지가 호출되는 시스템의 지리적 위치가 러시아나 벨로루시일 경우 악용 및 심각한 공급망 보안 사고가 발생할 것입니다."

 

이 취약점은 CVE-2022-23812로 등록되었으며, CVSS 점수 10점 만점에 9.8점을 받았습니다. 해당 악성코드의 변경 사항은 3월 7일(버전 10.1.1) 게시되었으며, 같은 날 10시간 후 두 번째 업데이트인 버전 10.1.2가 출시되었습니다.

 

흥미롭게도, 버전 10.1.3에서는 이 파괴적인 페이로드가 라이브러리에서 제거되었지만 주요 업데이트(버전 11.0.0)는 4시간도 채 지나지 않아 푸시되었습니다. 이는 또 다른 종속성인 "peacenotwar"를 가져왔습니다. 이 또한 RIAEvangelist가 "러시아의 침략에 대한 비폭력 시위"의 형태로 공개되었습니다.

 

 

<이미지 출처: https://snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability/>

 

 

이에 대해 Tal은 아래와 같이 설명했습니다.

 

"node-ipc 모듈 기능이 호출될 때마다 이는 Peacenotwar 모듈에서 가져온 메시지를 STDOUT에 프린트 하고, 러시아와 우크라이나의 현재 전시 상황 관련 내용이 포함된 파일을 사용자의 데스크탑 디렉토리에 생성합니다."

 

2022년 3월 15일 기준 node-ipc의 최신 버전인 11.1.0은 "peacenotwar" 패키지 버전을 9.1.3에서 9.1.5로 높이고 "colors" NPM 라이브러리를 번들로 제공하는 동시에 STDOUT 콘솔 메시지도 제거된 상태입니다.

 

인기 있는 모듈을 "protestware"로 사용하여 파괴적인 페이로드를 배포하고 공급망 공격을 실행할 경우 오픈 소스 소프트웨어에 대한 신뢰를 무너뜨릴 수 있습니다.

 

Tal은 아래와 같이 결론지었습니다.

 

"이 보안 사고에서는 한 유지 관리자가 디스크의 파일을 손상시키고, 이러한 의도적인 방해 행위를 다양한 형태로 숨기고 다시 불러오려 시도합니다.”

 

"이는 항의를 위한 공격이지만 소프트웨어 공급망에 존재하는 더욱 큰 문제를 강조합니다. 코드의 전이 종속성은 보안에 큰 영향을 미칠 수 있습니다."

 

 

 

 

출처:

https://thehackernews.com/2022/03/popular-npm-package-updated-to-wipe.html

https://snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability/