본문으로 건너뛰기
J
피드

북한 해커, npm·Axios 공급망 뚫었다 + 앤트로픽 '미토스' 제로데이 181번 침해 성공

security 약 6분
tags
#supply-chain-attack#npm#claude-mythos#zero-trust#north-korea
vote
0
댓글
북마크

북한 연계 해커 조직 UNC1069가 개발자를 소셜 엔지니어링으로 뚫어 npm/PyPI에 악성 패키지 1,700여 개를 유포. 앤트로픽은 보안 특화 AI '클로드 미토스'로 파이어폭스 JS 엔진 취약점 181번 침해에 성공, 빅테크와 '프로젝트 글래스윙' 출범. 금융보안원은 ZTNA 구축 안내서도 발간.

  • 1

    북한 해커가 Axios 메인테이너 계정 해킹, 악성 라이브러리 삽입 (3시간 만에 삭제)

  • 2

    2025년 초부터 관련 악성 npm/PyPI 패키지 1,700여 개 발견

  • 3

    클로드 미토스: 파이어폭스 147 침해 181회 성공 vs 오퍼스 4.6 겨우 2회

  • 4

    금융보안원 ZTNA 안내서: 7개 분야 21개 항목 보안진단 프레임워크 포함

북한 해커, npm·PyPI 오픈소스 공급망 정조준

  • 북한 연계 해커 조직이 SW 공급망을 체계적으로 공격하고 있음 — npm, PyPI 등 주요 오픈소스 저장소가 타깃
    • VS Code를 악용해 악성코드 '스토트와플(StoatWaffle)' 유포 — 개발자에게 채용 면접을 미끼로 접근해서 악성 파일 다운로드 유도
    • 스토트와플은 브라우저 저장 자격증명과 가상화폐 관련 확장 프로그램 데이터를 탈취, 윈도 버전은 명령어 실행·키로깅까지 가능
    • 사이버보안 스타트업 소켓(Socket)에 따르면 2025년 초부터 관련 악성 패키지가 1,700여 개 발견됨

⚠️주의

> 구글 위협 인텔리전스 그룹(GTIG)이 자바스크립트 패키지 Axios를 표적으로 한 공급망 공격을 확인했다. 해커가 회사 창업자를 사칭해 메인테이너에게 접근, 저장소 계정을 해킹한 뒤 Axios 특정 버전에 악성 라이브러리를 삽입했다. 다행히 3시간 만에 삭제됐지만, npm 의존성 하나가 뚫리면 영향 범위가 어마어마하다.

  • 구글은 공격에 사용된 악성코드를 근거로 북한 연계 해커 조직 'UNC1069'의 소행으로 추정
sequenceDiagram
    participant 해커 as 북한 해커(UNC1069)
    participant 개발자 as 오픈소스 메인테이너
    participant 저장소 as npm 저장소
    participant 사용자 as 다운스트림 사용자
    해커->>개발자: 채용 면접 / 창업자 사칭으로 접근
    해커->>개발자: 악성 파일 다운로드 유도
    개발자-->>해커: 자격증명 탈취됨
    해커->>저장소: 탈취한 계정으로 악성 버전 게시
    저장소->>사용자: 감염된 패키지 배포
    사용자-->>해커: 자격증명·가상화폐 유출
    개발자->>저장소: 이상 감지 후 신고
    저장소->>저장소: 악성 버전 삭제 (3시간)

앤트로픽, '클로드 미토스'로 AI 보안 자동화 시대 개막

  • 앤트로픽이 보안 특화 프론티어 모델 '클로드 미토스(Claude Mythos)' 프리뷰를 공개
    • 코딩과 추론 능력으로 취약점을 찾아내는 데 특화된 모델
    • 주요 OS와 웹 브라우저에서 제로데이(Zero-day) 취약점을 식별하고 실제로 침해하는 데 성공
    • OpenBSD에서 27년 된 버그를 찾아냄

중요

> 파이어폭스 147 JS 엔진 대상 취약점 침해 테스트 결과: 미토스 프리뷰 181번 성공 vs 오퍼스 4.6 겨우 2번 성공. 기존 모델과 비교 불가능한 압도적 격차.

  • 악용 위험 때문에 일부 기업에만 제한 공개 — '프로젝트 글래스윙(Project Glasswing)' 이니셔티브 출범
    • 참여 기업: AWS, 애플, 구글, 마이크로소프트, 엔비디아, 팔로알토 네트웍스, 크라우드스트라이크

금융보안원, 금융권 제로 트러스트 구축 가이드 발간

  • 금융보안원이 '금융분야 제로 트러스트 보안 안내서'를 발간 — 개념 설명보다 금융권 특화 구축 예시에 집중
    • ZTNA(제로 트러스트 네트워크 접근제어) 구현에 필요한 구성요소: 마이크로 세그멘테이션, 지속적 검증, SDP, SASE
    • 금융권 주요 5개 네트워크 구간(재택근무, 업무 단말, SaaS, R&D, 본·지점 간 통신)에 적용한 예시 포함
    • 보안진단 항목 7개 분야 21개 항목으로 구성된 프레임워크도 함께 제공

기술 맥락

  • 이번에 보고된 Axios 공격이 특히 무서운 이유는 공격 벡터가 '사람'이라는 점이에요. 코드 자체의 취약점이 아니라 메인테이너를 소셜 엔지니어링으로 뚫어서 정상적인 배포 채널을 통해 악성코드를 밀어넣은 거거든요. 이러면 패키지 매니저의 서명 검증이나 체크섬으로는 막을 수 없어요.
  • 북한 해커 그룹이 개발자를 채용 면접으로 유인하는 건 2022년경부터 계속되던 패턴인데, 이번에는 오픈소스 메인테이너 계정까지 뚫어서 공급망 자체를 오염시키는 수준으로 진화했어요. npm에서 Axios 같은 메이저 패키지가 뚫리면 다운스트림 영향이 수십만 프로젝트에 달할 수 있거든요.
  • 클로드 미토스의 파이어폭스 JS 엔진 침해 테스트 결과(181회 vs 2회)는 AI 보안 도구의 게임체인저급 성능을 보여줘요. 다만 앤트로픽이 이걸 제한 공개하는 건 당연한 조치예요. 같은 능력이 공격자 손에 들어가면 제로데이 발견 속도가 기하급수적으로 빨라지니까요.
  • 금융보안원의 ZTNA 안내서는 "제로 트러스트를 해야 한다는 건 아는데 어떻게 하는지 모르겠다"는 금융권 현장의 목소리에 대한 응답이에요. 특히 금융권은 레거시 네트워크 구조가 복잡해서 ZTNA 전환이 쉽지 않거든요.

개발자가 직접 타깃이 되는 공급망 공격은 코드 리뷰만으로 막을 수 없음. 채용 면접을 미끼로 한 소셜 엔지니어링이 핵심 공격 벡터이므로, 모르는 사람이 보내는 npm 패키지나 VS Code 확장에 각별히 주의해야 함.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.