북한 연계 그룹의 AXIOS 공급망 공격
Contents
개요
2026년 3월 31일, 웹 개발 환경 전반에서 널리 사용되는 HTTP 클라이언트 라이브러리인 Axios 와 관련하여 심각한 공급망 침해가 발생했다.
해당 공격 캠페인은 정상적인 패키지 배포 과정을 악용한 '공급망 공격'이라는 점에서 주의가 필요하다. 공격자는 소프트웨어 관리자(Maintainer)의 자격 증명을 탈취하여 Axios 패키지 내부에 악성 로더를 포함시켰으며, 이를 통해 사용자가 Axios 패키지를 설치하는 단계에서 악성코드가 자동으로 실행 및 설치되도록 했다.
이처럼 공급망 공격은 개발자가 신뢰하는 정상 패키지를 유포 경로로 악용하므로, 기존 방화벽이나 백신 등의 보안 탐지를 쉽게 우회하며 단기간에 수많은 기업의 개발 환경과 운영 서버로 피해가 연쇄적으로 확산될 수 있어 치명적이다.
특히, 공격에 사용된 인프라는 과거 북한 연계 조직의 활동에서 확인된 인프라와 일부 중복되는 것으로 분석되었으며, 이를 근거로 이번 공격의 배후로 북한의 위협 그룹이 지목되었다.
악성코드 분석
기존 패키지의 전체 라이브러리가 변조된 것은 아니며, npm을 통해 패키지가 설치되는 과정에서 자동으로 실행되는 setup.js 파일만이 변조된 것으로 확인되었다.
[그림 1] 패키지 내 파일 변조
setup.js 파일 내부에는 다음과 같이 stq라는 이름을 가진 배열에 난독화 처리된 문자열이 다수 존재한다.
[그림 2] 난독화된 …
2026년 3월 31일, 웹 개발 환경 전반에서 널리 사용되는 HTTP 클라이언트 라이브러리인 Axios 와 관련하여 심각한 공급망 침해가 발생했다.
해당 공격 캠페인은 정상적인 패키지 배포 과정을 악용한 '공급망 공격'이라는 점에서 주의가 필요하다. 공격자는 소프트웨어 관리자(Maintainer)의 자격 증명을 탈취하여 Axios 패키지 내부에 악성 로더를 포함시켰으며, 이를 통해 사용자가 Axios 패키지를 설치하는 단계에서 악성코드가 자동으로 실행 및 설치되도록 했다.
이처럼 공급망 공격은 개발자가 신뢰하는 정상 패키지를 유포 경로로 악용하므로, 기존 방화벽이나 백신 등의 보안 탐지를 쉽게 우회하며 단기간에 수많은 기업의 개발 환경과 운영 서버로 피해가 연쇄적으로 확산될 수 있어 치명적이다.
특히, 공격에 사용된 인프라는 과거 북한 연계 조직의 활동에서 확인된 인프라와 일부 중복되는 것으로 분석되었으며, 이를 근거로 이번 공격의 배후로 북한의 위협 그룹이 지목되었다.
악성코드 분석
기존 패키지의 전체 라이브러리가 변조된 것은 아니며, npm을 통해 패키지가 설치되는 과정에서 자동으로 실행되는 setup.js 파일만이 변조된 것으로 확인되었다.
[그림 1] 패키지 내 파일 변조
setup.js 파일 내부에는 다음과 같이 stq라는 이름을 가진 배열에 난독화 처리된 문자열이 다수 존재한다.
[그림 2] 난독화된 …