뉴스 : https://n.news.naver.com/mnews/article/003/0013859652
이거 생각보다 훨씬 심각한 이슈인 듯.
31일(현지 시간) 구글 위협 인텔리전스 그룹(GTIG), 스텝시큐리티 등에 따르면 북한 연계 해커 조직 'UNC1069'는 최근 자바스크립트 HTTP 라이브러리 '악시오스(Axios)' 관리자 계정을 탈취해 악성코드를 유포했다.
악시오스는 웹과 모바일 서비스가 서버와 데이터를 주고받을 때 사용하는 대표적인 오픈소스 라이브러리다. 주당 1억건 이상 다운로드될 정도로 많은 개발자가 로그인, 결제, 콘텐츠 로딩 등 대부분 기능에 악시오스를 활용하고 있다.
앱 업데이트만 했을 뿐인데 감염
해커는 정상적인 업데이트 파일 속에 '실크벨(SILKBELL)'이라는 악성 스크립트를 넣었다. 개발자가 이 라이브러리를 사용하면 앱 설치 과정에서 별도의 사용자 행동 없이 악성코드가 자동 실행된다.
이 악성코드는 운영체제에 따라 서로 다른 형태로 작동하는 백도어 '웨이브셰이퍼'를 내려보낸다. 시스템 정보를 수집하고 60초 간격으로 외부 서버와 통신하며 추가 명령을 받아 실행한다.
특히 이 악성코드는 실행 이후 스스로 삭제하고 변조된 설정 파일을 정상 상태로 되돌려 흔적을 최소화하는 방식으로 보안 탐지를 피했다.
이번 악성 버전은 약 3시간가량만 노출된 뒤 삭제됐다. 하지만 해당 라이브러리 사용자가 많아 실제 실행이 확인될 만큼 파급력이 컸다. 악시오스는 자동화된 개발 환경에서 즉시 설치되는 경우가 많아 짧은 노출만으로도 자동화된 개발 환경을 통해 대규모로 확산될 수 있다는 분석이다.
…
상세 정보
https://securityinfinity.com/blog/axios-npm-supply-chain-compromise-2025
이 axios
React Native 예제 프로젝트에서도 흔히 보던 녀석입니다. React 야 말할것도 없었구요.
우리가 개발에 axios 를 안쓰더라도, 다른사람은 썼을테니
구글 플레이 스토어나 애플 앱스토어에서 앱을 내려받아 한번 실행하는 것만으로도 감염이 가능했었다는 뜻입니다.
일단 axios 는 아예 안쓰시는 게 맞는 것 같구요
내 휴대폰, PC 전부 악성코드가 이미 있을 수가 있다 라고 단정짓고 쓰시는 게 좋겠습니다.
저 위 상세정보 사이트에 조치방법이 나와있습니다
Check exposure: Search
package-lock.json/yarn.lockforplain-crypto-jsoraxios@1.14.1/axios@0.30.4Kill active RAT: Terminate processes connecting to
142.11.206.73orsfrclak[.]comRemove persistence:
Windows: Delete
wt.exe,system.bat, removeMicrosoftUpdateregistry keymacOS: Delete
/Library/Caches/com.apple.act.mondLinux: Delete
/tmp/ld.py(or reboot — no persistence)
Assume full compromise: Rotate ALL credentials — npm tokens, SSH keys, AWS/GCP/Azure keys, Docker tokens, Kubernetes configs, GitHub PATs
Audit npm publish history: Check if your packages were published using stolen tokens
5개까지만 적었는데 뒤에 더있습니다.
댓글을 쓰려면 로그인이 필요합니다.