최근 한 달 사이 오픈소스 패키지 공급망 공격 사례가 연달아 발생했다. Python 패키지 litellm 1.82.7/1.82.8 버전이 정상 릴리스 프로세스를 우회해 PyPI에 직접 악성 배포됐으며, 설치 시 `.pth` 파일을 통해 Python 프로세스 시작 시마다 자동 실행되어 SSH 키, `.env` 파일, AWS/GCP/Azure 인증 정보, K8s 설정, DB 비밀번호, 쉘 히스토리 등을 수집하고 AES-256-CBC로 암호화해 외부로 전송한다. K8s 서비스 어카운트 토큰이 존재할 경우 클러스터 전체 시크릿을 읽고 백도어 Pod를 생성하는 횡이동(Lateral Movement)까지 시도한다. 이어 3월 31일에는 npm axios 리드 메인테이너 계정이 탈취되어 GitHub CI/CD를 우회한 채 npm CLI로 직접 악성 버전(1.14.1, 0.30.4)이 배포됐으며, 두 버전 모두 `plain-crypto-js@4.2.1`이라는 가짜 의존성을 주입하는 방식이 확인됐다. 직접 의존하지 않더라도 다른 패키지의 전이 의존성으로 유입될 수 있으므로, 사용 중인 패키지의 버전과 의존성 트리를 주기적으로 점검하는 것이 중요하다.
본 기사는 jojoldu tistory의 내용을 기반으로 AI가 백엔드 개발자 관점에서 자동 요약한 스크랩입니다. 카테고리는 백엔드 분야에 해당하며, 관련 분야의 최신 동향 파악을 위해 매일 자동 수집됩니다.
아래 원문 링크를 통해 전체 내용을 확인할 수 있습니다.