북한 해커, 엑시오스 NPM 패키지 공급망 공격…3시간 만에 수백만 건 배포

[디지털투데이 황치규 기자]북한 해커들이 주요 자바스크립트(JavaScript) 라이브러리인 엑시오스(Axios) NPM(Node Package Manager) 패키지를 변조해 수백만 건 악성 배포를 일으킨 공급망 공격이 확인됐다고 시큐리티위크(SecurityWeek)가 1일(현지시간) 보도했다.

구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)은 이번 공격 배후로 과거 암호화폐 및 탈중앙화 금융 기업들을 집중 공략해온 북한 연계 해킹 조직인 UNC1069를 지목했다.

엑시오스는 노드JS(Node.js)와 브라우저에서 비동기 API 요청을 처리하는 HTTP 클라이언트 라이브러리로 주간 다운로드 수가 1억건을 넘는 NPM 상위 10위 패키지로, 클라우드 및 코드 환경 약 80%에 설치돼 있다.

공격은 3월 31일 자정 직후 시작됐다. 공격자들은 백도어가 삽입된 엑시오스 1.14.1 및 0.30.4 버전을 NPM 레지스트리에 게시했다. 해당 버전들은 윈도(Windows), 맥OS(macOS), 리눅스(Linux) 플랫폼에서 사용자 동작 없이 악성 페이로드(payload, 악성코드 핵심 실행 코드)를 자동 실행하도록 설계됐다. 두 버전은 약 3시간 뒤 레지스트리에서 삭제됐다.

클라우드 보안 업체 위즈(Wiz)에 따르면 이 시간 동안 엑시오스 사용자 약 3%가 해당 버전을 내려받았다고 시큐리티위크는 전했다. 공격자들은 엑시오스 주요 관리자 계정 '@jasonsaayman'을 탈취해 공격 기반을 마련했다고 덧붙였다.

구글 위협 인텔리전스 그룹 수석 애널리스트 존 헐퀴스트(John Hultquist)는 엑시오스 사용 규모를 감안할 때 이번 사고가 "광범위한 영향"을 미칠 수 있다고 경고했다.