npm 패키지에 악성코드를 심어 개발자의 정보를 수집, 외부에 유출한 사례가 발견됐다.
미국 지디넷은 보안 회사 소나타입이 이같은 행위를 수행하는 악성 npm 패키지 4종을 npm 포털에서 발견해 npm에 보고했다고 5일(현지시간) 보도했다. npm 보안 팀은 문제가 된 패키지들을 현재 삭제한 상태다.
악성 npm 패키지는 ▲electorn ▲lodashs ▲loadyaml ▲loadyml이라는 이름으로 포털에 게재됐다. 각각 다운로드 건수는 255건, 78건, 48건, 37건을 기록했고 모두 같은 사용자가 게재한 것으로 나타났다. 소나타입 보안 연구원인 액스 샤르마는 악성 패키지들이 인기 패키지의 명칭을 본따 사용자 설치를 유도했다고 지적했다.
개발자가 이 패키지를 설치하면 내장된 악성코드는 개발자의 IP 주소와 거주 국가 및 도시, PC 사용자명, 홈 디렉토리 경로, CPU 모델 정보 등을 수집해 깃허브 저장소의 '이슈' 섹션 댓글로 기록했다. 24시간이 경과된 후에는 댓글이 삭제됐다.
미국 지디넷은 해커가 개발자들을 정찰하기 위한 작전의 일환으로 악성 npm 패키지를 유포했을 가능성이 높다고 분석했다.
IP 주소와 사용자명, 홈 디렉토리 경로 등의 정보를 수집한 것을 고려할 때 개발자가 재택근무자인지, 회사 사무실에서 근무하는지 등을 알아낼 수 있다는 것.
홈 디렉토리 경로와 CPU 모델 정보도 공격자가 특정 아키텍처를 노리는 맬웨어를 유포할 때 참고할 만한 내용이다.
관련기사
- 폴가이즈 API 위장 악성파일 발견2020.08.31
- MS의 공격적 오픈소스 인수…업계 반응은 '긍정적'2020.04.02
- 깃허브, 노드JS 패키지매니저 'npm' 인수2020.03.17
- MS 타입스크립트, 치솟는 인기 비결은2019.04.30
개발자 정보를 수집한 해커가 악성 npm 패키지에 후속 업데이트를 가장한 맞춤형 공격을 시도하는 시나리오를 예상할 수 있다.
이에 미국 지디넷은 악성 npm 패키지를 설치했는지 개발자들이 검토할 필요가 있다고 조언했다.