당신의 코드가 해킹 도구로?! npm 악성 패키지 주의보! #보안 #악성코드 #npm

자바스크립트 생태계의 중심인 npm에서 발견된 타이포스쿼팅 공격 사건을 전해드립니다. 개발자라면 반드시 알아야 할 중요한 내용입니다. 최근 인기 npm 패키지인 @rspack/core와 @rspack/cli, 그리고 vant가 악성 공격에 노출됐습니다. 공격자들은 유출된 접근 토큰을 이용해 악성 코드를 심은 버전을 배포했는데요. 이 악성 코드는 암호화폐 채굴기와 트로이목마를 포함하고 있었습니다. 이런 패키지를 사용하게 되면 개발자는 자신도 모르게 악성 소프트웨어를 퍼뜨릴 위험에 놓이게 됩니다. 다행히 보안 업체 소나타입이 이를 탐지하고 문제를 해결했습니다. 현재 안전한 버전은 @rspack/core와 @rspack/cli는 1.1.8, vant는 4.9.15로 업데이트되었습니다. 해당 패키지를 사용 중인 개발자분들은 반드시 최신 버전으로 업데이트하고, 시스템을 점검해 침해 여부를 확인하세요. 이처럼 타이포스쿼팅 공격은 비슷한 철자의 가짜 패키지를 배포해 개발자를 속이는 방식입니다. 항상 패키지 이름과 버전을 꼼꼼히 확인하고, 정기적으로 멀웨어 탐지 솔루션을 사용해 시스템을 스캔하는 습관을 들이세요. [출처 : https://www.boannews.com/media/view.a...]