북한이 웹에서 가장 많이 사용되는 오픈 소스 프로젝트 중 하나를 탈취한 것이 몇 주에 걸쳐 준비된 것으로 보인다

Source: TechCrunch

개요

2026년 3월 31일, 북한의 사이버 공격이 널리 사용되는 오픈‑소스 Axios 프로젝트를 잠시 가로채었습니다. 이 침입은 프로젝트의 주요 유지관리자를 목표로 한 몇 주에 걸친 캠페인의 결과였으며, 악성 코드를 수백만 명의 하위 사용자에게 배포하려는 목적이었습니다.

공격 타임라인

• 3월 31일 2주 전 – 해커들이 Axios 유지관리자 Jason Saayman을 표적으로 하는 캠페인을 시작했습니다.
• 3월 31일 – Saayman의 컴퓨터에 원격 접근 권한을 얻은 후, 공격자들은 npm 레지스트리에 두 개의 악성 Axios 패키지를 게시했습니다.
• ~3시간 후 – 침해가 발견되면서 악성 패키지들이 레지스트리에서 삭제되었습니다.

Saayman은 GitHub에 상세한 사후 보고서를 게시했으며, 여기에는 타임라인과 공격자들이 취한 단계가 설명되어 있습니다. Post‑mortem

공격 방법론

1. 사회공학 – 해커들은 합법적인 회사를 가장하고, 현실적인 Slack 워크스페이스를 만들었으며, 가짜 직원 프로필을 사용해 신뢰성을 구축했습니다.
2. 웹 회의 유인 – Saayman은 업데이트처럼 보이는 파일을 다운로드하도록 요구하는 웹 회의에 초대되었습니다. 실제로는 악성코드가 포함된 파일로, 해커들에게 원격 접근 권한을 부여했습니다.
3. 원격 접근 및 코드 주입 – Saayman의 머신에 침투한 뒤, 공격자들은 Axios npm 패키지에 악성 업데이트를 푸시했습니다.

이 기법은 피해자에게 원격 접근 권한을 부여하도록 유인해 암호화폐를 탈취하는 이전의 북한 작전과 유사합니다. Example technique

영향

• 두 개의 악성 패키지는 약 3시간 동안 제공되어, 그 기간 동안 설치한 수천 대의 시스템이 감염될 가능성이 있습니다.
• 감염된 머신에서는 개인 키, 자격 증명, 비밀번호 등이 유출되어 추가 침해가 발생할 수 있습니다.
• 침해 범위 전체는 아직 명확히 파악되지 않았습니다.

북한 사이버 위협에 대한 배경

• 북한 해커들은 가장 활발한 사이버 위협 중 하나로, 2025년 한 해에만 최소 20억 달러 이상의 암호화폐를 탈취한 것으로 알려져 있습니다. Source
• 국제 제재 하에 있는 정권은 사이버 범죄와 암호화폐 절도를 통해 핵 프로그램 자금을 마련하고 있습니다.
• 북한에는 수천 명의 고도로 조직된 해커가 존재한다고 추정되며, 이들은 강제성을 포함해 운영됩니다. 이들은 신뢰를 얻고 접근 권한을 확보한 뒤 데이터를 탈취하거나 피해자를 갈취하기 위해 몇 주에 걸친 사회공학 캠페인을 자주 수행합니다. Source

위 정보는 Axios 유지관리자의 진술과 공개된 보고서를 기반으로 합니다.