인기 node‑ipc npm 패키지, 자격 증명 탈취 위해 해킹당해
해커들이 npm을 표적으로 한 새로운 공급망 공격에서, 인기 있는 인터프로세스 통신 패키지인 node‑ipc의 최신 버전에 자격 증명을 탈취하는 악성코드를 주입했습니다.
node‑ipc 패키지는 Unix, Windows, UDP, TLS, TCP 등 모든 형태의 소켓을 통해 다양한 프로세스가 통신할 수 있게 해 주는 Node.js 모듈입니다.
유지보수자가 2022년 3월에 러시아와 벨라루스 기반 시스템을 대상으로 데이터를 덮어쓰는 모듈을 포함한 무장된 버전을 공개했음에도(러시아의 우크라이나 침공에 대한 항의) 이 패키지는 여전히 npm에서 주당 690,000회 이상의 다운로드를 기록하고 있습니다.
(npm 패키지 페이지)
최근 공급망 공격은 Socket, Ox Security, Upwind 등 여러 애플리케이션 보안 업체에 의해 탐지되었으며, 다음 세 버전이 악성으로 확인되었습니다.
node-ipc@9.1.6node-ipc@9.2.3node-ipc@12.0.1
악성 코드는 CommonJS 진입점(node-ipc.cjs)에 숨겨져 있으며, 애플리케이션이 로드될 때마다 자동으로 실행됩니다.
이 악성코드는 강력하게 난독화되어 있으며, 감염된 시스템을 식별하고 환경 변수와 민감한 로컬 파일을 수집한 뒤, 압축된 아카이브로 만들고 DNS TXT 쿼리를 통해 탈취합니다.
이번 침해는 비활성 유지보수자 ‘atiertant’ 계정을 탈취한 외부 행위자의 작업으로 보입니다.
연구진에 따르면, 새로 배포된 node‑ipc 버전에 주입된 정보 탈취 모듈은 감염된 시스템에서 다음과 같은 정보를 수집합니다.
- AWS, Azure, GCP, OCI, DigitalOcean 등 클라우드 자격 증명
- SSH 키 및 SSH 설정 파일
- Kubernetes, Docker, Helm, Terraform 자격 증명
- npm, GitHub, GitLab, Git CLI 토큰
.env파일 및 데이터베이스 자격 증명- 셸 히스토리와 CI/CD 비밀값
- macOS 키체인 파일 및 Linux 키링
- Firefox 프로필 및 키 데이터베이스 파일 (macOS)
- Microsoft Teams 로컬 스토리지 및 IndexedDB 경로
악성코드는 4 MiB를 초과하는 파일은 건너뛰며, .git 및 node_modules 디렉터리도 스캔하지 않아 효율성을 높이고 호스트에 남는 소음(노이즈)을 최소화합니다.
공격 개요
출처: Ox Research
주목할 만한 운영 특징은 데이터 탈취를 위해 전통적인 HTTP 기반 C2 트래픽 대신 DNS TXT 쿼리를 사용한다는 점입니다. 공격자는 가짜 Azure 테마 도메인(sh[.]azurestaticprovider[.]net:443)을 부트스트랩 리졸버로 활용하고, bt[.]node[.]js 로 데이터를 전송하며 쿼리 접두사로 xh, xd, xf 등을 사용합니다.
Socket에 따르면, 500 KB 압축 아카이브를 탈취하는 데 약 29,400개의 DNS TXT 요청이 발생할 수 있어 정상 DNS 트래픽에 섞이게 됩니다.
악성코드는 탈취 후 수집된 데이터를 임시 압축 tar.gz 아카이브에 저장하고, 탈취가 끝나면 이를 삭제해 포렌식 흔적을 최소화합니다.
이 악성코드는 영구성을 확보하거나 추가 페이로드를 다운로드하지 않으며, 빠른 자격 증명 탈취와 탈취에만 집중하는 것으로 보입니다.
영향을 받을 수 있는 개발자는 즉시 해당 버전을 제거하고, 노출된 비밀 및 자격 증명을 교체하며, package-lock.json·npm 캐시 등을 점검해야 합니다.
검증 격차: 자동화된 펜테스팅이 한 가지 질문에만 답한다. 당신은 여섯 가지가 필요하다.
자동화된 펜테스팅 도구는 실제 가치를 제공하지만, “공격자가 네트워크를 이동할 수 있는가?”라는 한 가지 질문에만 답하도록 설계되었습니다. 이 도구들은 여러분의 방어가 위협을 차단하는지, 탐지 규칙이 작동하는지, 클라우드 설정이 안전한지 등을 검증하도록 만들어지지는 않았습니다.
이 가이드는 여러분이 실제로 검증해야 할 6가지 영역을 다룹니다.