🚨인사이트
Axios 해킹 사태: 소셜 엔지니어링으로 시작된 npm 공급망 공격
북한 연계 해커가 정교한 소셜 엔지니어링으로 Axios 메인테이너를 속여 악성 버전을 배포한 사건 분석
↗ 원본 링크#보안#npm#공급망공격#소셜엔지니어링
사건 개요
2026년 3월 31일, 주간 다운로드 수 1억 회를 기록하는 인기 JavaScript 라이브러리 Axios가 공급망 공격의 표적이 되었습니다. 공격자는 메인테이너의 npm 계정을 탈취해 악성 버전(1.14.1, 0.30.4)을 배포했고, 불과 89초 만에 첫 감염이 발생했습니다.
공격 과정: 정교한 소셜 엔지니어링
이번 공격의 핵심은 코드 취약점이 아닌 사람을 노린 소셜 엔지니어링이었습니다.
1단계: 신뢰 구축
▸실제 존재하는 회사의 창업자를 사칭
▸회사 브랜딩까지 완벽하게 복제
2단계: 가짜 협업 환경 조성
▸회사 CI가 적용된 **가짜 Slack 워크스페이스** 구축
▸LinkedIn 게시물, 팀원 프로필까지 정교하게 위조
3단계: MS Teams 미팅 함정
▸여러 참여자가 있는 것처럼 보이는 미팅 설정
▸미팅 중 "시스템 업데이트 필요" 메시지로 악성 소프트웨어 설치 유도
4단계: RAT 설치 및 계정 탈취
▸원격 제어 프로그램(RAT) 설치 성공
▸브라우저 세션/쿠키 탈취로 npm, GitHub 계정 장악
▸2FA/MFA도 우회
악성 코드의 작동 방식
공격자는 plain-crypto-js@4.2.1이라는 의존성을 추가했습니다.
▸18시간 전에 정상 버전(4.2.0)을 먼저 배포해 신뢰 구축
▸악성 버전(4.2.1)의 `postinstall` 스크립트가 자동 실행
▸macOS, Windows, Linux 모두 지원하는 크로스 플랫폼 RAT 설치
피해 규모
▸악성 버전은 **3시간 동안** npm에 존재
▸Huntress 모니터링 환경에서만 **135개 이상 엔드포인트** 감염 확인
▸첫 감염까지 **89초** 소요
배후: 북한 연계 해킹 그룹
▸
Microsoft: Sapphire Sleet으로 분류
▸
Google: 2018년부터 활동한 UNC1069로 추정
▸재정적 동기를 가진 북한 국가 행위자
교훈
이 사건은 다음을 보여줍니다:
1.기술적 보안만으로는 부족: 2FA가 있어도 소셜 엔지니어링에 취약
2.인적 보안의 중요성: 개발자도 표적이 될 수 있음
3.공급망 공격의 위험성: 신뢰받는 라이브러리도 안전하지 않음
4.빠른 전파 속도: 89초 만에 전 세계로 확산 가능
대응 방법
▸의심스러운 협업 제안에 주의
▸화상 미팅에서 소프트웨어 설치 요구 시 의심
▸의존성 업데이트 시 변경사항 확인
▸보안 모니터링 도구 활용