안녕하세요,그로메트릭 입니다. 🐸 오늘은 오픈소스 생태계의 신뢰 구조 자체를 노린 새로운 공급망 공격 사례를 소개합니다. 지난 6월 11일, 소나타입(Sonatype) 보안 연구팀은 Arch Linux 사용자 저장소(AUR)에서 방치된 패키지를 탈취해 npm 악성 패키지를 설치시키는 신종 캠페인 Atomic Arch를 발견했습니다. 공격자는 관리자가 손을 놓은 오픈소스 패키지의 소유권을 넘겨받은 뒤, 빌드 스크립트(PKGBUILD)에 설치 후 스크립트를 추가해 npm 패키지 atomic-lockfile을 자동으로 내려받도록 조작했습니다.문제는 이 패키지 안에 들어 있던 페이로드입니다. 분석 결과 자격 증명 탈취, 은닉, 디버깅 방지, 데이터 유출 기능을 갖춘 리눅스 실행 파일이 함께 설치되는 것으로 확..

안녕하세요,그로메트릭 입니다. 🐸 지난 4월 14일 Sonatype이 발표한 '2026년 1분기 오픈소스 악성코드 지수(Q1 2026 Open Source Malware Index)'에 따르면, 전 세계적으로 누적된 악성 패키지는 이제 134만 개를 넘어섰습니다. 특히 이번 1분기에만 21,764개의 새로운 악성 패키지가 발견되었으며, 이는 전년 동기 대비 21% 증가한 수치입니다.가장 경계해야 할 점은 이런 공급망 공격이 고도화 되었다는 점입니다. 발견된 악성 코드 중 75%가 npm 생태계에 집중되어 있으며, 단순히 코드를 심는 것을 넘어 기밀 탈취(19%)와 호스트 정보 유출(22%)을 목적으로 하는 '트로이목마'형 공격이 주를 이루고 있습니다. 특히 axios 침해 사고나 Trivy 하이재킹 사..

그로메트릭 네이버 블로그에 IT기술보안 관련 주요 소식들이 올라왔습니다.25년도 12월 마지막까지 안전하게 프로젝트를 관리하실 수 있도록 네이버 블로그를 구독해보시는 것은 어떨까요? [긴급 보안 이슈] 주요 npm 패키지 490여 개 감염! 'Shai-Hulud 2.0' 공급망 공격 분석 및 대응 당신이 몰랐던 HTTPS 자물쇠의 5가지 비밀 -1

그로메트릭 네이버 블로그 원문을 참고하세요!https://m.blog.naver.com/grometric/224001430811​ npm 공급망 공격 사건 정리: 패키지 악성 코드 삽입안녕하세요 그로메트릭 입니다. 🐸 2025년 9월 8일 발생한 npm 생태계의 심각한 공급망 공격 사건을 정리...blog.naver.com 안녕하세요그로메트릭 입니다. 🐸2025년 9월 8일 발생한 npm 생태계의 심각한 공급망 공격 사건을 정리했습니다.사건의 시작: npm 계정 피싱과 악성 패키지 배포2025년 9월 8일, 공격자는 npm 패키지 유지관리자를 대상으로 피싱 이메일을 보냈습니다.발신 주소: support@npmjs.help“지난 12개월간 2FA(이중 인증)를 갱신하지 않았으며, 2025년 9월 10..