Axios NPM 패키지 공급망 공격 발생

[이미지] 생성형 AI 제작

 

 

최근 Axios의 공식 저장소(NPM)를 통해 악성 코드가 유포되는 공격이 발생했습니다.

북한 배후의 해킹 그룹에 의한 것으로 분석되는 이번 공격은, 해당 프로그램을 관리하는 공식 개발자의 계정을 탈취하고 정교한 은폐 기법을 사용하여 전 세계 개발 환경 침투를 시도했습니다. 

 

Axios (액시오스): 자바스크립트(JavaScript) 환경에서 서버와 데이터를 주고받기 위해 사용하는 HTTP 클라이언트 라이브러리입니다. 브라우저와 Node.js 환경 모두에서 동작하며, API 호출 및 데이터 수신에 있어 표준처럼 사용되는 매우 대중적인 오픈소스 도구입니다.

 

NPM (Node Package Manager): 개발자들이 작성한 코드 패키지를 공유하고 관리하는 오픈소스 소프트웨어 저장소(Registry) 입니다. 개발자는 필요한 기능을 직접 구현하는 대신, NPM에 등록된 검증된 패키지를 자신의 프로젝트에 '의존성(Dependency)'으로 추가하여 개발 효율을 높입니다.

 

공격 개요 및 흐름 

 

공격자는 Axios 공식 관리자 계정을 탈취하여 정상적인 패키지 업데이트 과정에 악성 의존성을 주입하고, 이를 통해 최종적으로 강력한 원격 제어 도구(RAT)를 유포했습니다.

 

1. 계정 탈취 및 악성 패키지 업로드 

공격자는 탈취한 계정으로 axios@1.14.1 및 0.30.4 버전을 게시했습니다. 이 과정에서 plain-crypto-js@4.2.1 패키지를 필수 의존성(dependency)으로 추가했습니다. 

 

2. 자동 실행 메커니즘 

사용자가 npm install axios를 실행하면, plain-crypto-js 내의 postinstall 스크립트를 통해 node setup.js 가 자동 실행됩니다. 

 

3. 플랫폼별 맞춤형 드롭퍼 실행

setup.js는 시스템 OS를 식별한 후 최적화된 2차 드롭퍼(Dropper)를 내려받습니다. 

• macOS: AppleScript 기반 페이로드 
• Windows: VBScript 및 PowerShell 기반 페이로드 
• Linux: Python 기반 드롭퍼 

4. RAT 유포

드롭퍼를 통해 최종적으로 설치되는 페이로드는 RAT(Remot Access Trojan)이며, 해당 RAT는 시스템에 상주하며 내부시스템 조회, 원격 명령 실행 등 감염 시스템을 제어합니다. 

 

5. 정교한 흔적 제거 

악성 동작 완료 후 setup.js는 자기 자신과 악성 package.json을 삭제합니다. 이후 미리 준비해둔 package.md 파일을 package.json으로 이름을 변경하여 정상 패키지로 보이도록 위장했습니다. 

 

침해 여부 점검 가이드

 

프로젝트 및 시스템 환경에서 아래 4단계 절차를 통해 악성 코드 노출 여부를 점검하시기 바랍니다.

 

1단계 - 프로젝트 내 악성 Axios 버전 확인 
터미널에서 아래 명령어를 실행하여 문제가 된 버전이 설치되어 있는지 확인합니다. 

• npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
• grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"

2단계 - 악성 의존성 패키지 존재 여부 확인 

node_modules 디렉토리 안에 악성 페이로드를 담고 있는 폴더가 있는지 확인합니다. 

• ls node_modules/plain-crypto-js 

공격자가 흔적을 지웠다면 해당 폴더 안의 setup.js나 package.json이 깨끗한 파일로 대체되었을 수 있기 때문에 폴더가 존재한다는 사실만으로도 드롭퍼가 실행된 것으로 볼 수 있습니다. 

 

3단계 - 시스템 내 RAT 흔적(Artifacts) 확인 

운영체제별로 생성되었을 수 있는 악성 파일의 존재 여부를 점검합니다. 

• macOS: ls -la /Library/Caches/com.apple.act.mond
• Linux: ls -la /tmp/ld.py 
• Windows (cmd): dir "%PROGRAMDATA%\wt.exe"

4단계 -  CI/CD 파이프라인 점검 

빌드 시스템 및 파이프라인 로그를 검토하여 axios@1.14.1 또는 axios@0.30.4 버전이 설치된 이력이 있는지 확인합니다. 하나라도 설치된 기록이 있다면 해당 파이프라인은 손상된 것으로 간주하고, 주입된 모든 비밀 키를 즉시 폐기해야 합니다. 

 

대응 방안

 

침해가 확인되었거나 취약한 버전을 사용 중인 경우, 단순히 패키지를 삭제하는 것 이상의 강력한 복구 조치가 필요합니다.

• 즉각적인 버전 교체 및 고정
  문제가 된 버전을 즉시 삭제하고, 안전함이 확인된 버전(1.14.0 이하)을 지정하여 재설치합니다.
• 임시 데이터 강제 소거
  로컬 및 빌드 서버에 남은 악성 데이터 찌꺼기를 완전히 제거하기 위해 NPM 캐시를 강제로 삭제합니다.
• 모든 자격 증명 폐기 및 재발행
  감염된 환경에서 노출되었을 가능성이 있는 모든 API 키, 클라우드 인증 토큰, 비밀번호, SSH 키, NPM 로그인 토큰을 즉시 폐기하고 새로 발급받습니다. 
• 네트워크 차단
  C2로 확인된 sfrclak[.]com 도메인 및 IP 주소(142.11.206.73)로 향하는 모든 트래픽을 차단하고, 통신 시도를 모니터링 합니다. 
• 보안 강화 설정
  향후 유사 공격을 방지하기 위해 모든 계정에 다중 인증(MFA) 설정을 의무화하고, 패키지 설치 시 악성 스크립트 실행을 막는 --ignore-scripts 옵션 사용을 정책적으로 활용할 것을 권장합니다. 

 

이번 공격은 단순히 특정 라이브러리의 취약점을 악용한 사례를 넘어, 오픈소스 생태계의 신뢰 구조 자체를 겨냥한 고도화된 공급망 공격의 위협을 보여주는 사례라 할 수 있습니다.

특히 Axios는 수많은 패키지가 의존하는 핵심 라이브러리인 만큼 그 파급력이 매우 크며, 최근 다양한 공격 그룹이 유사한 방식으로 기밀 정보를 탈취해 금전적 이득을 취하는 사례가 급증하고 있습니다.

유출된 정보는 향후 SaaS 환경 침해나 랜섬웨어, 암호화폐 탈취 등 2차적인 대규모 보안 사고로 이어질 가능성이 높습니다. 

 

따라서 보안 담당자분들께서는 현재 시스템의 피해 여부를 즉각 재평가하고, 손상된 환경의 복구와 더불어 향후 유사한 공급망 위협에 대응할 수 있는 다각도의 보안 체계를 구축해 주시길 당부드립니다.

 

 

참고: 

https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package?e=48754805&hl=en
https://socket.dev/blog/axios-npm-package-compromised
https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan