1️⃣ 무슨 일이 있었나?

대규모 공급망 공격이 진행 중입니다. 신뢰도가 매우 높은 개발자 qix의 NPM 계정이 탈취되었고, chalk, strip-ansi, color-convert, is-core-module 등 수십 개의 고영향 패키지에 악성 버전이 배포되었습니다.

2️⃣ 영향은?

이들 기초 패키지들의 주간 다운로드 합계가 10억 건을 넘기 때문에, 자바스크립트 생태계 전체에 치명적인 위협입니다.

3️⃣ 멀웨어는 뭘 하나?

페이로드는 정교한 크립토 클리퍼(crypto-clipper) 입니다. 네트워크 요청을 가로채 지갑 주소를 바꿔치기하고, 지갑 트랜잭션을 직접 가로채 자금을 탈취합니다.

4️⃣ 어떻게 보호하나?

즉시 의존성을 점검하세요. 빌드 파이프라인에서 npm ci 를 사용하고, package.json의 overrides 기능으로 문제가 된 패키지를 마지막으로 안전한 버전에 고정(pinning)하세요.

원문

세 줄요약

1. 유명 개발자 qix의 NPM 계정이 탈취되어 chalk, strip-ansi 등 주간 10억 다운로드 규모 핵심 패키지에 악성 코드가 배포됨.

2. 멀웨어는 지갑 주소를 시각적으로 유사한 공격자 주소로 바꿔치기하거나, 트랜잭션 자체를 가로채 변조해 자금을 탈취함.

3. 즉시 의존성 점검 및 overrides로 안전 버전 고정, 트랜잭션 서명 시 수신 주소 꼼꼼히 확인이 필요함.

한 줄 요약

자바스크립트 오픈소스 기여자 qix의 계정이 탈취당했고 qix의 계정이 배포한 패키지에 크립토 자산 탈취 코드가 배포 중, 10억건 이상 사용된 패키지들로 현재 하드웨어 월렛을 사용하는 것이 아니라면 위험함