npm 공급망 공격으로 수백만 앱 해킹
원제: ‘No Way To Prevent This,’ Says Only Package Manager Where This Regularly Happens | Kevin Patel
왜 중요한가
JavaScript 생태계의 패키지 의존성 보안 취약점이 전 세계 기업 인프라에 미치는 위험성을 보여준다.
npm 레지스트리에서 공급망 공격이 발생해 수백만 개의 기업 애플리케이션이 해킹되고 수십억 건의 사용자 기록이 노출됐다. 공격자가 방치된 유틸리티 패키지를 장악해 전 세계 프로덕션 빌드에 암호화폐 채굴 프로그램을 주입했다.
JavaScript 생태계에서 대규모 공급망 공격이 발생했다. 공격자가 오랫동안 방치된 유틸리티 패키지를 장악해 전 세계 모든 프로덕션 빌드에 암호화폐 채굴 프로그램을 주입한 것으로 확인됐다. 이로 인해 수백만 개의 기업 애플리케이션이 해킹되고 수십억 건의 사용자 기록이 노출됐다. 시니어 프론트엔드 엔지니어 Mark Vance는 '현대 웹 앱을 구축하는 대가'라며 이런 공격이 불가피하다고 말했다. JavaScript 개발자들은 단일 문자열을 대문자로 변환하기 위해 익명의 개발자들이 관리하는 40단계 깊이의 패키지 의존성 트리에 완전히 의존하고 있다. 반면 Go, Rust 및 네이티브 Web API를 활용하는 생태계에서는 강력한 표준 라이브러리와 엄격한 암호화 검증으로 인해 이런 공격 사례가 전혀 보고되지 않았다. npm 대변인은 '악의적 행위자가 존재하는 세상에서 살고 있다는 현실을 받아들여야 한다'며 레지스트리 정책이나 빌드 샌드박스 보안책을 강화할 방법이 없다고 밝혔다.