2026년 1분기 오픈소스 악성코드 분석: 21,764개 위협과 공급망 보안 자동화 전략 (Sonatype 리포트)

안녕하세요,그로메트릭 입니다. 🐸 지난 4월 14일 Sonatype이 발표한 '2026년 1분기 오픈소스 악성코드 지수(Q1 2026 Open Source Malware Index)'에 따르면, 전 세계적으로 누적된 악성 패키지는 이제 134만 개를 넘어섰습니다. 특히 이번 1분기에만 21,764개의 새로운 악성 패키지가 발견되었으며, 이는 전년 동기 대비 21% 증가한 수치입니다.가장 경계해야 할 점은 이런 공급망 공격이 고도화 되었다는 점입니다. 발견된 악성 코드 중 75%가 npm 생태계에 집중되어 있으며, 단순히 코드를 심는 것을 넘어 기밀 탈취(19%)와 호스트 정보 유출(22%)을 목적으로 하는 '트로이목마'형 공격이 주를 이루고 있습니다. 특히 axios 침해 사고나 Trivy 하이재킹 사..

그로메트릭 네이버 블로그에 IT기술보안 관련 주요 소식들이 올라왔습니다.25년도 12월 마지막까지 안전하게 프로젝트를 관리하실 수 있도록 네이버 블로그를 구독해보시는 것은 어떨까요? [긴급 보안 이슈] 주요 npm 패키지 490여 개 감염! 'Shai-Hulud 2.0' 공급망 공격 분석 및 대응 당신이 몰랐던 HTTPS 자물쇠의 5가지 비밀 -1

그로메트릭 네이버 블로그에서 자세한 내용을 참고하세요!https://m.blog.naver.com/grometric/224001485214 [긴급공지] npm Chalk 및 Debug 패키지가 소프트웨어 공급망 공격에 노출됨안녕하세요 그로메트릭 입니다. 🐸 npm 공급망 공격 사건에 대하여 sonatype 보안 연구팀이 제공한 블로...blog.naver.com 연관 시리즈 글이 궁금하시다면 아래 그로메트릭 네이버 블로그를 참고하세요!내 프로젝트의 npm 패키지, 정말 안심하고 사용하시나요? 내 프로젝트의 npm 패키지, 정말 안심하고 사용하시나요?안녕하세요 그로메트릭 입니다. 🐸 최근 개발자 커뮤니티가 chalk, debug 등 유명 npm 패키지를 겨냥한 ...blog.naver.com [sona..

그로메트릭 네이버 블로그 원문을 참고하세요!https://m.blog.naver.com/grometric/224001430811​ npm 공급망 공격 사건 정리: 패키지 악성 코드 삽입안녕하세요 그로메트릭 입니다. 🐸 2025년 9월 8일 발생한 npm 생태계의 심각한 공급망 공격 사건을 정리...blog.naver.com 안녕하세요그로메트릭 입니다. 🐸2025년 9월 8일 발생한 npm 생태계의 심각한 공급망 공격 사건을 정리했습니다.사건의 시작: npm 계정 피싱과 악성 패키지 배포2025년 9월 8일, 공격자는 npm 패키지 유지관리자를 대상으로 피싱 이메일을 보냈습니다.발신 주소: support@npmjs.help“지난 12개월간 2FA(이중 인증)를 갱신하지 않았으며, 2025년 9월 10..