본문으로 건너뛰기
피드

라자루스식 공격자, 유명 개발도구로 위장한 npm 악성 패키지 뿌림

security 약 6분
vote
0
댓글
북마크

북한 연계 조직 라자루스와 유사한 수법을 쓰는 공격자들이 npm 저장소에 유명 개발도구처럼 꾸민 악성 패키지 6종을 올린 것으로 드러났다. 패키지명, 설명, 저장소 정보, 홈페이지까지 정상 프로젝트처럼 위장했고, 설치 뒤 추가 패키지와 암호화된 악성 코드를 내려받는 다단계 구조를 썼다.

  • 1

    제이프로그 보안연구소가 npm 저장소에서 악성 패키지 6종을 발견

  • 2

    공격자는 정상 오픈소스 패키지와 이름, 설명, 저장소 정보, 홈페이지를 거의 똑같이 꾸밈

  • 3

    설치 후 추가 악성 패키지를 자동 설치하고 외부 서버에서 암호화된 코드를 내려받아 실행

  • 4

    개발자 PC를 발판으로 기업 시스템을 노리는 소프트웨어 공급망 공격 성격

  • 5

    가상화폐 지갑, 로그인 정보 탈취와 원격 제어가 목적일 가능성이 제기됨

  • 북한 연계 해킹 조직 라자루스(Lazarus)와 비슷한 수법을 쓰는 공격자들이 npm에 악성 패키지를 올린 정황이 나옴

    • 제이프로그 보안연구소가 자바스크립트 생태계의 npm 저장소에서 악성 패키지 6종을 포착했다고 밝힘
    • 타깃은 일반 인터넷 사용자가 아니라, 기업 시스템을 만드는 소프트웨어 개발자 쪽에 가까움
  • 공격 방식은 꽤 전형적이면서도 무서운 ‘정상 패키지 흉내내기’임

    • 공격자들은 정상 오픈소스 패키지와 이름, 설명, 저장소 정보를 거의 똑같이 꾸몄음
    • 설명서와 홈페이지 주소까지 원본처럼 만들어서, 대충 훑어보면 정상 프로그램으로 착각하기 쉽게 설계했음
  • 감염 흐름도 한 번에 끝나는 구조가 아니라 여러 단계로 나뉘어 있음

    • 개발자가 악성 패키지를 프로젝트에 포함하면 추가 악성 패키지가 자동 설치됨
    • 이후 외부 서버에서 암호화된 악성 코드를 내려받아 실행하는 방식으로 이어짐
    • 보안 분석 환경에서는 악성코드가 동작하지 않도록 해서 탐지도 피하려 했다고 함
sequenceDiagram
    participant 개발자
    participant npm저장소
    participant 악성패키지
    participant 외부서버
    participant 공격자
    개발자->>npm저장소: 유명 도구로 보이는 패키지 설치
    npm저장소->>악성패키지: 위장 패키지 다운로드
    악성패키지->>악성패키지: 추가 패키지 자동 설치
    악성패키지->>외부서버: 암호화된 악성 코드 요청
    외부서버-->>악성패키지: 실행 코드 전달
    악성패키지->>공격자: 환경 정보와 탈취 데이터 전송
  • 이 공격의 본질은 개발자 PC를 기업 침투의 발판으로 삼는 소프트웨어 공급망 공격임
    • 개발자 컴퓨터는 소스코드, 패키지 토큰, 클라우드 키, 사내 저장소 접근권한 같은 민감한 것들이 몰려 있는 경우가 많음
    • 공격자는 컴퓨터 환경 감시, 통제권 탈취, 가상화폐 지갑과 로그인 정보 탈취를 노린 것으로 추정됨

⚠️주의

> npm 패키지는 코드 한 줄보다 더 큰 권한을 가질 때가 많음. 설치 스크립트, 의존성 체인, 외부 다운로드가 붙으면 개발자 PC 전체가 공격 경로가 될 수 있음.

  • 제이프로그는 이번 공격이 라자루스의 기존 수법과 닮았다고 봄

    • 구조, 위장 방식, 정보 탈취, 원격 제어 방식이 유사하다는 설명임
    • 라자루스는 김수키, 안다리엘과 함께 북한 정찰총국 소속으로 알려진 해킹 조직으로 언급됨
  • 개발팀이 바로 점검해야 할 포인트도 분명함

    • 최근 설치한 npm 패키지 중 이름이 비슷한 패키지, 출처가 애매한 패키지, 설치 후 외부 서버로 통신하는 패키지를 확인해야 함
    • 개인 개발환경과 업무 인증정보가 섞여 있다면 피해 범위가 커질 수 있으니 토큰 폐기와 재발급까지 염두에 둬야 함

기술 맥락

  • 이번 공격에서 중요한 선택은 서버를 직접 뚫는 대신 개발자가 신뢰하는 패키지 저장소를 노렸다는 점이에요. 개발자는 의존성을 빠르게 설치하는 데 익숙하고, npm 생태계는 작은 패키지가 여러 겹으로 연결되는 구조라서 공격자가 숨어들 틈이 생겨요.

  • 패키지명과 설명, 저장소 정보, 홈페이지까지 베낀 이유는 사람이 검토하는 시간을 줄이기 위해서예요. 바쁜 개발자는 이름과 README 정도만 보고 설치하는 경우가 많으니까, 겉모습을 정상 프로젝트처럼 만드는 게 꽤 효과적인 사회공학 기법이 돼요.

  • 다단계 설치 구조를 쓴 것도 탐지를 피하려는 의도가 있어요. 처음 설치되는 패키지는 비교적 얌전해 보이게 만들고, 실제 악성 코드는 나중에 외부 서버에서 암호화된 형태로 받아오면 정적 분석에서 놓칠 가능성이 커지거든요.

  • 개발자 PC가 위험한 이유는 권한이 많기 때문이에요. 로컬에는 깃 토큰, 배포 키, 클라우드 자격증명, 사내 저장소 접근권한이 같이 있는 경우가 많아서, 한 번 감염되면 개인 장비 문제가 아니라 조직 전체의 공급망 사고로 번질 수 있어요.

  • 그래서 대응도 패키지 삭제만으로 끝나면 부족해요. 설치 이력, 네트워크 통신, 토큰 사용 로그를 같이 봐야 하고, 의심되는 인증정보는 재발급하는 쪽이 맞아요. 특히 설치 스크립트를 실행하는 패키지는 CI와 로컬 모두에서 별도 검증이 필요해요.

이건 ‘npm 조심하자’ 수준의 뻔한 얘기가 아니라, 개발자 환경 자체가 기업 침투의 입구가 됐다는 신호다. 패키지 이름만 보고 설치하는 습관, 자동 설치 스크립트 방치, 개인 지갑과 업무 인증정보가 섞인 개발 PC가 전부 공격면이 된다.

댓글

댓글

댓글을 불러오는 중...

security

보안 스타트업들, 투자와 글로벌 클라우드 인증 부담을 같이 꺼내놓음

한국정보보호산업협회가 정보보호 스타트업 협의체 회의를 열고 보안 스타트업 투자 활성화와 글로벌 클라우드 컴플라이언스 대응을 논의했다. 참석자들은 SaaS 도입 확대, PoC 기회, 인증 비용과 절차 부담 완화가 필요하다고 봤다.

security

블랙덕, 오픈소스 리스크 웨비나서 ‘코드베이스당 취약점 581건’ 다룬다

블랙덕과 KMS테크놀로지가 7월 9일 오픈소스 보안 리스크와 대응 전략을 다루는 웨비나를 연다. 블랙덕의 2026 OSSRA 리포트에 따르면 코드베이스당 취약점은 평균 581건으로 전년 대비 107% 늘었고, 좀비 컴포넌트를 포함한 코드베이스는 93%에 달했다.

security

북한 ‘폴린라이더’, 개발자 면접 미끼로 악성 패키지 108개 유포

북한 연계 해커들이 ‘폴린라이더’ 캠페인으로 개발자와 암호화폐 업계 종사자를 겨냥해 악성 패키지와 브라우저 확장 프로그램을 유포했다. 가짜 구직 제안과 화상 면접을 미끼로 삼고, 코딩 테스트 명목으로 패키지 설치를 유도한 점이 핵심이다.

security

북한 해커, npm 유명 패키지 베껴 개발자 PC부터 뚫었다

북한 연계로 추정되는 공격자가 npm에서 유명 자바스크립트 패키지를 흉내 낸 악성 패키지 6종을 유포한 정황이 나왔다. 패키지 설명과 홈페이지까지 원본처럼 꾸미고, 샌드박스 회피와 다단계 다운로드로 정적 분석을 피한 게 핵심이다.

security

에버스핀·티냅스, AI 레드팀으로 신뢰 보안 시장 노린다

에버스핀과 티냅스가 AI 신뢰 보안 분야에서 전략적 협력을 맺었다. 생성형 AI와 AI 에이전트 확산으로 프롬프트 주입, 탈옥, 데이터 유출, 권한 오남용 같은 위협이 커지면서 AI 시스템을 설계부터 운영까지 검증하는 시장을 공략하겠다는 내용이다.