**북한 해킹 그룹, Npm 생태계 침투해 대규모 데이터 유출 시도**
북한 정부 지원 해킹 그룹이 인터넷의 가장 중요한 오픈소스 생태계 중 하나인 **Npm**에 침투하여 대규모 데이터 유출의 경로로 삼았습니다. 사이버 보안 회사 소켓(Socket)은 전 세계 수백만 명의 개발자가 사용하는 세계 최대 자바스크립트 소프트웨어 레지스트리인 Npm에 300개 이상의 악성 패키지가 업로드되었다고 밝혔습니다. 겉보기에는 합법적으로 보이는 이들 손상된 패키지는 다운로드 시 브라우저 데이터 및 암호화폐 지갑 키를 포함한 민감한 사용자 정보를 훔치도록 설계된 코드를 비밀리에 삽입했습니다.
소켓의 “Contagious Interview”라고 명명된 조사에 따르면 이 캠페인은 블록체인 및 웹3 분야 개발자를 대상으로 기술 채용 담당자로 위장하는 오랜 수법을 사용하는 북한 단체로 추적됩니다. 이는 인터넷 보안에 심오한 영향을 미칩니다. Npm은 현대 디지털 인프라의 상당 부분을 차지하는 기반 역할을 하므로, 이러한 침해는 일반적인 소프트웨어 업데이트를 통해 확산되어 수천 개의 애플리케이션에 영향을 미칠 수 있습니다. 이와 같은 공급망 공격은 개발자가 널리 사용되는 종속성에 부여하는 내재된 신뢰를 악용하기 때문에 탐지가 매우 어렵습니다.
연구원들은 ‘express’, ‘dotenv’, ‘hardhat’과 같은 인기 라이브러리를 모방한 유사한 패키지 이름을 사용하여 악성 활동을 식별했습니다. 삽입된 코드는 “BeaverTail” 및 “InvisibleFerret”과 같은 알려진 북한 멀웨어 캠페인과도 연관되었습니다. 이 악성 코드는 완전히 메모리 내에서 작동하여 탐지 및 추적 노력을 크게 복잡하게 만들었습니다. 발견 당시 손상된 패키지는 약 50,000회 다운로드되었습니다.
추가 분석 결과 공격자들은 북한의 사이버 작전에서 자주 사용되는 전술인 링크드인과 같은 플랫폼에서 가짜 채용 프로필을 활용한 것으로 나타났습니다. 이를 통해 악성 코드를 배포하고 암호화폐 지갑이나 기업 자격 증명이 포함된 시스템에 액세스할 수 있었습니다.
Npm의 소유주인 GitHub는 이후 확인된 대부분의 위협을 제거하고 계정 확인 프로세스를 강화했지만, 사이버 보안 전문가들은 새로운 악성 패키지가 계속해서 등장하고 있다고 경고합니다. Npm의 오픈소스 특성은 혁신의 동인이지만 동시에 악용의 경로를 제공합니다.
이 사건은 개발자들에게 모든 종속성 다운로드에는 내재된 위험이 따른다는 점을 다시 한번 상기시켜 줍니다. 업계 전문가들은 설치 전 패키지에 대한 철저한 검증, 자동화된 모니터링 도구 구현, 모든 외부 코드에 대한 주의 깊은 접근 방식을 권장합니다. 개방형 협업을 기반으로 점점 더 상호 연결되는 디지털 환경에서 사전 예방적 주의는 여전히 주요 방어 수단입니다.