Microsoft, 마스트라 AI 공급망 공격에 북한 해커 연관
마이크로소프트는 최근 Mastra AI 공급망 공격으로 140개 이상의 npm 패키지가 침해된 사건을 북한 해킹 집단 사파이어 슬리투(Sapphire Sleet), 즉 블루노르프(BlueNoroff)라고归因했습니다.
이归因은 마이크로소프트가 이번 주 초에 공격자들이 npm 유지 관리자 계정을 해킹하고 이를 이용해 악성 패키지 업데이트를 게시했다는 사실을 먼저 공개한 후에 이루어졌습니다.
“마이크로소프트는 이 활동이 사파이어 슬리투, 북한 국가 행위자이며 주로 금융 분야를 타깃으로 삼는다는 점에서 높은 신뢰도로归因한다고 평가합니다,” 회사는 6월 19일 업데이트에 말했습니다.
According to Microsoft, the attack began when threat actors compromised the npm maintainer account “ehindero,” which had publishing privileges across the Mastra package environment.
이 계정을 이용해 공격자들은 약 140개의 패키지에 대해 @mastra 범위 내에서 악성 업데이트를 게시했으며, “easy- day- js”라는 이름의 악성 의존성을 삽입했습니다. 이 의존성은 널리 사용되는 정식 JavaScript 라이브러리인 dayjs의 오타형(typosquat)입니다.
손상된 패키지가 설치될 때, 악성 의존성은 post‑install 훅을 실행해 개발자 기기에 악성 드롭퍼를 배포했으며, 최종 목표는 민감한 자격 증명, API 키, 인증 토큰 및 암호화폐 지갑을 도둑하는 것이었습니다.
“설치된 후 easy- day- js는 postinstall 훅을 실행해 은폐된 드롭퍼 스크립트를 실행하고, TLS 인증서 검증을 비활성화하며, 공격자 제어 C2 인프라에 연결하고, 2단계 페이로드를 다운로드한 뒤 숨겨진 프로세스로 실행했습니다,” 마이크로소프트는 설명합니다.
크로스 플랫폼 악성코드가 암호화폐 지갑을 타깃으로 함
다운로드된 2단계 페이로드는 윈도우, 리눅스, macOS 시스템을 대상으로 설계된 크로스 플랫폼 정보 도둑이었습니다.
이 임플란트는 호스트 정보, 브라우저 기록, 설치된 애플리케이션, 실행 중인 프로세스를 수집하고 166개의 암호화폐 지갑 브라우저 확장 프로그램이 설치되어 있는지 확인했습니다. 여기에는 MetaMask, Phantom, Coinbase Wallet, Binance Wallet, TronLink 등이 포함됩니다.
악성코드는 운영체제에 따라 다른 지속성 방법을 사용했으며, 예를 들어 Windows 레지스트리 Run 키, macOS LaunchAgents, 리눅스 systemd 서비스 등이 있었습니다.
Mastra npm 공급망 침해 출처: Microsoft
마이크로소프트는 공격자의 C2 서버와 통신한 시스템들이 사파이어 슬리투와 이전에 연관된 전술들을 활용한 추가 활동을 보였다고 말했습니다.
이에는 그룹에 precedenti 사용했던 PowerShell 백도어 배포, 추가적인 지속성 메커니즘, Microsoft Defender 제외 사항, 그리고 SYSTEM 특권을 부여한 악성 Windows 서비스가 포함됩니다.
“PowerShell 백도어, 전술, 그리고 C2 인프라가 사파이어 슬리투에 의해 이전 캠페인에서도 사용되어 왔습니다,” 마이크로소프트는 설명했습니다.
사파이어 슬리투는 북한 국가 지원 위협 행위로, 암호화폐 절도 캠페인, 악성 브라우저 확장 프로그램, 가짜求職 제안, 소프트웨어 공급망 침해 등을 통해 자격 증명과 암호화폐 자산을 도둑하려는 것으로 알려져 있습니다.
마이크로소프트는 해당 그룹이 또한 2026년 4월에 Axios HTTP 클라이언트에 대한 별도의 npm 공급망 침해를 담당했다고 밝혔습니다.
보안 팀은 성공적인 공격의 54%를 로깅하고 단지 14%만 알림으로 설정합니다. 나머지는 여러분의 환경에서 눈에 띄지 않고 진행됩니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM과 EDR 규칙을 테스트하여 위협이 검출되지 않도록 방지한다는 내용을 보여줍니다.