최근 연구 결과로 인해 새로운 관심이 생겼습니다. npm 생태계 내에 숨어 있는 보안 위협. 북한 사이버 작전과 관련된 새로운 캠페인이 활용되고 있습니다. 악성 npm 패키지 소프트웨어 개발자의 컴퓨터를 해킹하는 것은 주로 고액 연봉의 원격 근무를 제공하는 기술 채용 담당자로 위장하는 것입니다. 이 계산된 전략은 기술적 궤변과 설득력 있는 사회 공학, 오픈소스 공급망이 정교한 공격에 얼마나 취약할 수 있는지를 보여줍니다.
조사관들은 "전염성 인터뷰" 작전과 관련이 있다고 믿어지는 이 캠페인의 배후에 있는 조직자들이 다음과 같은 내용을 출판했다는 사실을 발견했습니다. 35개 계정에 걸쳐 24개의 고유한 npm 패키지. 이러한 패키지는 다운로드 횟수가 4,000회를 넘었으며, 우려스럽게도 여러 패키지가 레지스트리에서 여전히 사용 가능하다고 합니다. 공격 방법은 다음과 같은 곳에 깊이 뿌리박혀 있습니다. 사회 공학구직 중인 개발자들은 주로 LinkedIn을 통해 채용 담당자를 사칭하는 사람들에게 접근합니다. 그런 다음 개발자들은 Google Docs나 Bitbucket 저장소를 통해 코딩 과제를 받게 되는데, 이러한 가짜 평가서에는 특정 npm 모듈을 설치하라는 지침이 포함되어 있는데, 실제로 이 모듈에는 악성코드가 포함되어 있습니다.
기술적 분석: 다단계 맬웨어 배포
표면 아래에서 공격 인프라는 다음을 사용합니다. 다층 배포 전략 지속성과 은밀성을 위해 설계되었습니다. 감염 사슬은 다음으로 시작됩니다. HexEval 로더npm 패키지 내에 숨겨진 로더로, 호스트 시스템의 지문을 수집하고 공격자의 원격 인프라와 통신을 시작합니다. 16진수로 인코딩된 문자열과 난독화된 코드는 명령 및 제어 엔드포인트와 같은 중요한 정보가 런타임에만 노출되도록 하여 정적 분석 시 로더를 탐지하기 어렵게 만듭니다.
피해자가 손상된 패키지를 설치하고 제공된 코드를 실행하면 HexEval이 전송됩니다. 자세한 시스템 정보 (OS 세부 정보, 호스트 이름, 네트워크 정보 등)을 입력하고 다음 단계를 가져옵니다. 비버테일이 악성코드는 브라우저 데이터, 세션 토큰, 암호화폐 지갑 파일을 수집하는 데 능숙한 크로스 플랫폼 인포스틸러로 설계되었습니다. 대상이 원하는 기준과 일치하면 BeaverTail이 로드됩니다. 보이지 않는 흰족제비, 공격자가 원격으로 파일에 접근하고, 스크린샷을 찍고, 초기 침해 이후에도 오랫동안 장치를 제어할 수 있게 해주는 백도어입니다.
특히, 일부 악성 npm 패키지는 추가 무기를 사용합니다. 키로거 키 입력을 기록하고 실시간으로 민감한 데이터를 유출할 수 있습니다. 분석가들은 이 기능이 특히 가치가 높거나 맞춤형 피해자를 위해 예약됨공격자 계정 중 일부에서만 발견되었기 때문입니다.
신뢰할 수 있는 프로젝트의 타이포스쿼팅 및 사칭
이 계획의 가장 문제가 되는 측면 중 하나는 다음을 사용하는 것입니다. 타이포스쿼팅된 패키지 이름, 신뢰할 수 있는 라이브러리를 모방하여 실수로 설치될 가능성을 높입니다. 보안 연구원들이 인용하는 사례로는 다음과 같은 인기 프로젝트의 약간의 변형이나 철자 오류가 있습니다. react-plaid-sdk, reactbootstraps, vite-plugin-next-refresh, node-orm-mongoose 및 chalk-config이러한 기만적인 전략은 매우 효과적입니다. 개발자가 빠르게 움직이다 보면 악성 패키지를 잘 만들어진 라이브러리라고 착각하여 실수로 설치할 수 있기 때문입니다.
접근 방식은 다음에 의해 더욱 설득력이 높아집니다. 개인화된 커뮤니케이션 공격자로부터. 오픈소스 정보를 활용하여, 공격자들은 구직자들에게 맞춤형 접근 방식을 구축하고, 192,000만 300,000천 달러에서 XNUMX만 달러 사이의 연봉을 제시하며 피해자들을 웹으로 유인합니다. 구직자들은 종종 코드를 "실시간"으로 실행하도록 압력을 받습니다. 때로는 화면 공유 인터뷰—안전하고 컨테이너화된 환경에서 실행하는 것은 권장되지 않습니다.
보안 분석가들은 다음의 조합을 지적했습니다. 지연된 악성 소프트웨어 스테이징, 최소 레지스트리 공간 및 조건부 페이로드 전달 자동 및 수동 검토 작업 모두를 복잡하게 만듭니다. 공격자 방법론의 이러한 진화는 개발자의 작업 방식과 그들이 사용하는 보안 도구에 대한 깊은 이해를 보여줍니다.
개발자와 오픈소스 커뮤니티를 위한 방어적 조치
의식하다 npm 레지스트리 및 오픈 소스 공급망과 관련된 위험개발자는 사전 예방적 보안 조치를 취하는 것이 중요합니다. 권장 사항은 다음과 같습니다. 알 수 없는 패키지 로컬 머신에서 실행하기 전에 항상 격리된 환경이나 가상화된 환경에서 테스트해야 합니다. npm 패키지에 잠재적 위협을 분석하는 도구를 통합하면 침투 위험을 크게 줄일 수 있습니다. 또한, 고급 맬웨어 탐지 도구를 도입하고 소셜 엔지니어링 전술에 대한 인식을 높이는 것 또한 노출을 줄이는 데 필수적인 조치입니다.
이러한 공격이 수그러들 기미가 보이지 않는 가운데, 오픈소스 생태계는 방어력을 지속적으로 강화해야 합니다. 활성 위협을 탐지하고 제거하기 위한 노력을 포함한 보안 연구 커뮤니티의 신속한 대응은 이러한 공격의 범위를 제한하는 데 중요한 역할을 합니다. npm 생태계의 보안을 유지하기 위해서는 지속적인 실사와 교육이 여전히 매우 중요합니다. 보안 전략을 심도 있게 논의하려면 관련 문서를 참조하십시오. como proteger tus proyectos de npm과 함께.
