윈도와 리눅스의 셸을 공격하는 악성코드를 포함한 npm 패키지가 발견됐다.
npm 보안팀은 해당 라이브러리의 설치를 확인했다면 저장된 모든 암호와 키를 다른 컴퓨터에서 즉시 변경할 것을 권고했다.
미국 지디넷은 npm 보안팀이 악성코드에 감염된 자바스크립트 라이브러리 패키지 3개를 발견해 제거했다고 최근 보도했다.
감염된 라이브러리는 plutov-slack-client, nodetest199, nodetest1010 세 종이다. 이 라이브러리는 2018년 업로드 된 후 수백 건 이상의 다운로드가 발생한 것으로 나타났다.
보안팀에 따르면 해당 라이브러리는 사용자 컴퓨터의 셸을 공격해 외부에서 접속할 수 있는 경로를 만든다. 셸은 사용자가 입력하는 명령어를 기계어로 번역해 운영체제에 전달하는 역할을 한다.
이후 공격자는 해당 경로를 통해 감염된 컴퓨터에 원격으로 접속해 악의적인 작업을 실행할 수 있다.
이 라이브러리는 리눅스, 프리BSD, 오픈BSD 등 윈도와 리눅스 계열 운영체제에서 작동한다고 밝혔다.
관련기사
- 개발자 정보 유출하는 npm 패키지 발견2020.10.06
- 깃허브, 노드JS 패키지매니저 'npm' 인수2020.03.17
- 폴가이즈 API 위장 악성파일 발견2020.08.31
- "암흑 속 네트워크 운영자에게 빛을 밝혀주는 솔루션"2020.10.16
보안팀은 “이 패키지가 설치되거나 실행 중인 모든 컴퓨터는 완전히 손상된 것으로 간주해야 한다”며 “해당 컴퓨터에 저장된 모든 암호와 키를 다른 컴퓨터에서 즉시 교체해야 한다”고 말했다.
이어서 “이미 컴퓨터에 대한 모든 권한이 외부에 부여됐을 수 있으므로 패키지를 제거한다고 해서 악성코드가 제거된다는 보장이 없다”고 덧붙였다.