Supply Chain Attack on Axios NPM Package via North Korean Threat Actors
Contents
01. Executive Summary
사건개요
2026년 3월 31일 00:21 ~ 03:20(UTC기준) 자바스크립트 생태계에 주간 1억건 이상의 다운로드 기록을 가지고 있는 HTTP 클라이언트 라이브러리인 악시오스(Axios) NPM 관리자 계정 탈취로, 악성 패키지인 Axios NPM 릴리스 버전 [email protected]과 [email protected] 배포
Axios 메인테이너 계정을 탈취하여 기존 Axios 소스코드를 건드리지 않고 악성 패키지 plain-crypto-js([email protected]) 의존성에 추가하였으며, ‘npm install’실행 시 악성코드가 자동으로 실행되어 Windows, macOS, Linux 운영체제별로 맞춤형 백도어(RAT)인 WAVESHAPER.V2를 유포
Google의 GTIG를 포함하여 Huntress(macOS 바이너리 내부 이름 "macWebT"는 BlueNoroff의 RustBucket "webT" 모듈과 일치), Elastic Security Labs(macOS 바이너리와 북한 연계 백도어 간의 구조적 중복구조), Volexity(이전에 북한 캠페인과 연관된 도메인 calltan[.]com)등 다수의 위협정보 분석 조직에서도 공격 주체를 북한으로 지목
대응방안
GitHub의 코드 검색 기능을 사용하여 package.json 또는 package-lock.json 파일내 문제가 되는 버전 검색하고 안전한 이전 버전(1.14.0 이하, 0.30.3 이하)을 적용
RAT 공격 관련 아티팩트 존재여부 확인 명령어(Windows, macOS, Linux마다 상이하기 때문에 상세 검색 명령어 확인 필요)
02. Axios NPM Package 공급망 공격 개요
2.1. Executive Summary
2026년 3월 31일 00:21 ~ 03:20(UTC기준) 자바스크립트 생태계에 주간 1억건 이상의 다운로드 …
사건개요
2026년 3월 31일 00:21 ~ 03:20(UTC기준) 자바스크립트 생태계에 주간 1억건 이상의 다운로드 기록을 가지고 있는 HTTP 클라이언트 라이브러리인 악시오스(Axios) NPM 관리자 계정 탈취로, 악성 패키지인 Axios NPM 릴리스 버전 [email protected]과 [email protected] 배포
Axios 메인테이너 계정을 탈취하여 기존 Axios 소스코드를 건드리지 않고 악성 패키지 plain-crypto-js([email protected]) 의존성에 추가하였으며, ‘npm install’실행 시 악성코드가 자동으로 실행되어 Windows, macOS, Linux 운영체제별로 맞춤형 백도어(RAT)인 WAVESHAPER.V2를 유포
Google의 GTIG를 포함하여 Huntress(macOS 바이너리 내부 이름 "macWebT"는 BlueNoroff의 RustBucket "webT" 모듈과 일치), Elastic Security Labs(macOS 바이너리와 북한 연계 백도어 간의 구조적 중복구조), Volexity(이전에 북한 캠페인과 연관된 도메인 calltan[.]com)등 다수의 위협정보 분석 조직에서도 공격 주체를 북한으로 지목
대응방안
GitHub의 코드 검색 기능을 사용하여 package.json 또는 package-lock.json 파일내 문제가 되는 버전 검색하고 안전한 이전 버전(1.14.0 이하, 0.30.3 이하)을 적용
RAT 공격 관련 아티팩트 존재여부 확인 명령어(Windows, macOS, Linux마다 상이하기 때문에 상세 검색 명령어 확인 필요)
02. Axios NPM Package 공급망 공격 개요
2.1. Executive Summary
2026년 3월 31일 00:21 ~ 03:20(UTC기준) 자바스크립트 생태계에 주간 1억건 이상의 다운로드 …
IoC
http://packages.npm.org/product2
http://github.com/brix/crypto-js
http://callnrwise.com
http://calltan.com
http://1.14.1|0.30.4
http://sfrclak.com:8000/6202033
http://github.com/evanvosberg
http://packages.npm.org/product1
http://sfrclak.com
http://packages.npm.org/product0
http://sfrclak.com142.11.206.73
http://github.com/brix/crypto-js.git
http://sfrclak.com:8000/
142.11.206.73
23.254.167.216
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101
f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd
ed8560c1ac7ceb6983ba995124d5917dc1a00288912387a6389296637d5f815c
e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09
92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a
9f914d42706fe215501044acd85a32d58aaef1419d404fddfa5d3b48f66ccd9f
fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf
59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f
58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668
5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd
http://github.com/brix/crypto-js
http://callnrwise.com
http://calltan.com
http://1.14.1|0.30.4
http://sfrclak.com:8000/6202033
http://github.com/evanvosberg
http://packages.npm.org/product1
http://sfrclak.com
http://packages.npm.org/product0
http://sfrclak.com142.11.206.73
http://github.com/brix/crypto-js.git
http://sfrclak.com:8000/
142.11.206.73
23.254.167.216
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101
f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd
ed8560c1ac7ceb6983ba995124d5917dc1a00288912387a6389296637d5f815c
e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09
92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a
9f914d42706fe215501044acd85a32d58aaef1419d404fddfa5d3b48f66ccd9f
fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf
59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f
58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668
5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd