신규 IronWorm 악성코드, npm 공급망 공격으로 36개 패키지 타격

Source: Slashdot

새로운 npm 공급망 공격이 IronWorm이라는 러스트 기반 정보 탈취 악성코드로 36개의 패키지를 감염시켰다고 보고되었습니다. BleepingComputer에 따르면, 이 악성코드는 “86개의 환경 변수(키‑값 쌍)와 OpenAI, AWS, Anthropic, npm 자격 증명, Vault 설정 파일, SSH 키, Exodus 암호화폐 지갑 파일 등을 포함할 수 있는 20개의 인증 파일을 목표로 한다”고 합니다. 보고서에 따르면, 공급망 및 DevOps 기업인 JFrog 연구원들은 IronWorm이 러스트로 작성되었으며 eBPF 커널 루트킷 뒤에 숨고 Tor 네트워크를 통해 운영자와 통신한다고 밝혔습니다. 이 러스트 기반 악성코드는 탈취한 인증 정보를 이용해 npm에 패키지를 게시함으로써 자체 복제합니다. 여기에는 npm의 Trusted Publishing 워크플로와 연관된 비밀도 포함됩니다. 개발자나 CI 환경이 침해되면, 피해자가 소유한 패키지의 트로이 목마 버전을 게시해 추가 개발자와 CI 시스템을 감염시킬 수 있습니다.

이 행동은 최근 GitHub에 코드가 공개된 Shai Hulud와 개념적으로 유사합니다. JFrog 연구원들은 IronWorm과 Shai Hulud 사이에 명확한 연관성을 찾지는 못했지만, 두 공급망 공격 모두에서 동일한 커밋 이름이 나타났다고 관찰했습니다. 이는 새로운 악성코드가 TeamPCP의 페이로드를 진화시킨 형태일 가능성을 열어줍니다. IronWorm은 “자체 인프라를 갖춘 작전에서 신중하게 구축된 맞춤형 임플란트”라고 평가됩니다.

[…] 보고서에서는 영향을 받은 모든 패키지 이름과 버전 목록을 제공하고, 개발자들에게 패키지를 최신 버전으로 업데이트하고, 키를 교체하며, 모든 계정에 2단계 인증(2FA)을 활성화할 것을 권고합니다. 동시에 Endor Labs와 StepSecurity는 JavaScript 기반 악성코드 binding.gyp를 이용한 매우 유사하지만 별개의 공격을 포착했으며, 이는 레지스트리 오염 및 GitHub Actions 감염을 수행하고 동일한 시기에 전개되었습니다.