인기 높은 자바스크립트 라이브러리에 악성 코드를 누군가 삽입해

2021-10-25 15:16
  • 카카오톡
  • url
사이트 및 장비 식별을 도와주는 자바스크립트 라이브러리인 UAParser.js가 감염된 채 돌아다니고 있다고 미국 정부가 경고했다. 일주일에 800만회 다운로드 되는 패키지라서 그렇다. 공격자들의 최종 목표는 암호화폐 채굴로 보인다.
 
[보안뉴스 문가용 기자] 지난 주말 미국의 사이버 보안 전담 기관인 CISA가 새로운 보안 경고를 발표했다. 코드 리포지터리인 깃허브(GitHub)의 서비스 중 자바스크립트 라이브러리를 공유하는 NPM을 통해 암호화폐 채굴 멀웨어가 유포되고 있다는 내용이었다. 문제가 되고 있는 라이브러리는 인기가 꽤 높은 것으로 UAParser.js라고 한다.
 

[이미지 = utoimage]

UAParser.js는 일주일에 600~800만회 다운로드를 기록하고 있을 정도로 인기가 높고 널리 알려진 라이브러리다. 웹사이트들과 애플리케이션들이 사용되고 있는 브라우저와 시스템을 식별하는 데에 주로 사용된다. 이런 라이브러리와 코드가 공유되는 곳이 NPM인데, 2020년 마이크로소프트의 깃허브가 인수했다.
 
CISA의 경고는 보안 업체 소나타입(Sonatype)이 얼마 전 악성 패키지를 NPM에서 발견한 것에 기인한다. 소나타입에 의하면 최근 UAParser.js가 세 가지 버전으로 업데이트 되었다고 한다. 0.7.29, 0.8.0, 1.0.0 버전으로 모두 민감한 정보를 탈취하는 코드를 포함하고 있었다. UAParser.js를 담당하는 원래 개발자의 계정을 공격자들이 탈취한 것으로 보인다.
 
소나타입에 의하면 “공격자들의 최종 목적은 탈취한 민감 정보를 바탕으로 사용자들의 시스템에 침투해 암호화폐를 불법적으로 채굴하는 것으로 보인다”고 한다. 민감한 정보를 통해 접근한 후 장비를 완전히 장악하고 나서 암호화폐 채굴 멀웨어를 심기 위해 NPM 계정을 탈취한 것으로 보인다는 것이다.
 
현재는 원 개발자가 문제를 전부 해결해 최신 버전을 NPM에 올려놓은 상황이다. 최신 버전은 0.7.30, 0.8.1, 1.0.1이니 UAParser.js의 사용자라면 가장 알맞은 버전을 골라 설치하는 것이 좋다.
 
원 개발자는 인도네시아의 프로그래머인 파이잘 살만(Faisal Salman)이라고 하는 인물이다. 그는 자신이 개발한 프로그램에 누군가 악성 코드를 주입시켰다고 주장하며 자신의 계정이 탈취된 것 같다고 의심했다. “누군가 저의 NPM 계정을 하이재킹한 후 멋대로 업데이트 해서 발표한 것 같습니다. 문제의 버전은 0.7.29와 0.8.0, 1.0.0으로 멀웨어가 심긴 것으로 보입니다.”
 
NPM을 보유하고 있는 깃허브 측에서도 관련된 내용의 경고를 사용자들에게 내보냈다. 최근 인기 높은 자바스크립트 라이브러리인 UAParser.js를 다운로드 받은 사람이라면 감염되었을 가능성이 매우 높다면서 장비에 저장된 민감 정보를 전부 다른 곳으로 옮기라고 경고했다. 당연히 업데이트가 필수라는 내용도 포함되어 있다.
 
깃허브는 “각종 데이터를 옮기고 설치했던 패키지를 삭제하는 게 최선의 방법이지만, 그런다고 해서 설치됐을 악성 스크립트까지 다 지워진다고 보장할 수는 없다”며 “악성 소프트웨어를 찾아서 지우는 작업도 따로 병행하는 것이 좋다”고 발표했다.
 
최근 사이버 공격자들은 소프트웨어 공급망의 일부인 개발자들을 노리는 활동에 많은 노력을 투자하고 있다. 개발자들을 노리는 방법은 여러 가지인데, 그 중 개발자들이 많이 사용하는 코드 공유 사이트들, 즉 리포지터리를 노리는 것도 포함된다. 깃허브는 물론 도커 생태계의 허브인 도커 허브(Docker Hub), 파이선 전용 리포지터리인 PyPL에서도 악성 요소의 유포가 자주 이뤄진다.
 
때문에 개발자들을 대상으로 한 ‘안전한 코딩 문화’가 꾸준히 보안 업계 내에서 강조되고 있기도 하다. 개발자들이 안전한 코딩과 제품 개발을 할 수 있으려면 ‘시큐어 코딩’이 정착되어야 하며, 조직적으로도 안전한 코딩을 위한 정책 개발과 적용이 필수적이다.
 
3줄 요약
1. 인기 높은 자바스크립트 라이브러리, 감염된 채 퍼짐.
2. 해당 라이브러리의 개발자 계정이 침해된 것으로 보임.
3. 공급망 공격 자주 하는 해커들, 개발자들의 리포지터리 노리는 것 즐김.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전코리아

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 엔토스정보통신

    • 웹게이트

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 하이크비전

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 다후아테크놀로지코리아

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • ITX_AI

    • 다누시스

    • 경인씨엔에스
      CCTV / 자동복구장치

    • Tiandy

    • 성현시스템

    • 하이앤텍

    • 비전정보통신

    • 씨엠아이텍

    • CVT

    • 이오씨

    • 아이쓰리시스템(주)

    • A3시큐리티

    • (주)투윈스컴

    • 트루엔
      IP 카메라 / 인공지능 ..

    • (주)씨유박스

    • (주)에펠

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • (주)우경정보기술

    • (주)동양유니텍

    • AIS테크놀러지

    • 디비시스
      CCTV토탈솔루션

    • 주식회사 비앤에스

    • 구네보코리아주식회사

    • 보쉬빌딩테크놀러지

    • 한국씨텍(주)

    • 네티마

    • 엔에스티정보통신

    • 옵텍스

    • 아이엔아이
      울타리 침입 감지 시스템

    • 신우테크
      팬틸드 / 하우징

    • (주)에프에스네트웍스

    • 에이앤티코리아

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 새눈
      CCTV 상태관리 솔루션

    • (주)알에프코리아

    • 사라다

    • 모스타

    • 주식회사 에스카

    • (주)일산정밀

    • 이후커뮤니케이션

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • 엔에스게이트

    • 퍼시픽솔루션

    • 다원테크

    • (주)에이앤티글로벌

    • 두레옵트로닉스
      카메라 렌즈

    • 포커스테크

    • 티에스아이솔루션
      출입 통제 솔루션

    • 메트로게이트
      시큐리티 게이트

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 글로넥스
      카드리더 / 데드볼트

    • (주)넥스트림

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지엘에스이

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기