중대한 NPM 공급망 공격: 'Sandworm_Mode' 웜, AI 도우미와 비밀 정보 표적

정교한 NPM 공급망 공격 발견: 'Sandworm_Mode'

보안 연구자들이 Node Package Manager(NPM) 생태계를 표적으로 하는 새로운 공급망 공격 **'Sandworm_Mode'**를 발견했습니다. SecurityWeek에서 보고된 이 악성 캠페인은 웜과 유사한 전파 능력, AI 도우미를 대상으로 한 공격, 민감한 비밀 정보 유출, 그리고 파괴적인 "데드 스위치(dead switch)" 메커니즘을 포함하고 있습니다.

공격의 주요 세부 사항

• 전파 방식: 악성 패키지는 NPM의 의존성 해결 메커니즘을 악용하여 하위 프로젝트와 시스템에 자동으로 전파됩니다.
• AI 도우미 오염: 이 공격은 AI 기반 개발 도구를 특별히 표적으로 삼아 자동화된 코드 생성 및 검토 프로세스를 손상시킬 가능성이 있습니다.
• 데이터 유출: 페이로드는 API 키, 자격 증명 및 기타 민감한 정보를 수집하고 유출하도록 설계되었습니다.
• 데드 스위치: 악성코드 내에 내장된 파괴적 구성 요소가 시스템을 작동 불능으로 만들거나 중요한 데이터를 손상시킬 수 있는 킬 스위치를 실행할 수 있습니다.

기술 분석

'Sandworm_Mode' 공격은 공급망 위협의 진화하는 정교함을 보여줍니다. NPM의 패키지 배포 모델을 악용함으로써 위협 행위자들은 최소한의 초기 접근으로 광범위한 침해를 달성할 수 있습니다. AI 도우미를 표적으로 한 것은 현대 소프트웨어 워크플로우에서 점점 더 중요한 역할을 하는 자동화된 개발 파이프라인을 방해하거나 조작하려는 의도를 시사합니다.

데드 스위치 메커니즘은 보안 전문가들에게 특히 우려스러운 부분입니다. 이는 데이터 파괴 또는 시스템 파괴라는 고위험 요소를 도입하며, 공격자들이 장기적인 지속성과 최대 영향을 우선시하는 고급 지속 위협(APT) 방법론과 일치합니다.

영향 및 대응 조치

NPM 또는 AI 지원 개발 도구를 사용하는 조직은 즉시 다음 조치를 취해야 합니다:

• 의존성 감사: 승인되지 않았거나 의심스러운 업데이트가 있는지 모든 NPM 패키지를 검토합니다. npm audit 또는 서드파티 솔루션(예: Snyk, Dependabot)을 사용하여 취약한 의존성을 식별할 수 있습니다.
• 이상 징후 모니터링: 엔드포인트 탐지 및 대응(EDR) 솔루션을 배포하여 무단 데이터 유출 또는 예기치 않은 프로세스 실행과 같은 비정상적인 동작을 탐지합니다.
• AI 도구 접근 제한: 악성 입력이 유입될 가능성을 최소화하기 위해 AI 지원 개발 도구의 권한을 제한합니다.
• 최소 권한 원칙 적용: NPM 및 관련 도구가 최소 권한 원칙에 따라 운영되도록 하여 공격 표면을 줄입니다.
• 사고 대응 계획 수립: 오프라인 백업을 유지하고 재해 복구 절차를 테스트하여 잠재적인 데드 스위치 활성화에 대비합니다.

보안 팀의 다음 단계

이 공격의 웜과 같은 특성상, 차단 및 근절에는 개발, 운영, 보안 팀 간의 협력이 필요할 수 있습니다. SecurityWeek의 보고서는 특히 NPM과 같은 널리 사용되는 플랫폼과 연계된 오픈소스 생태계 모니터링에 대한 경각심을 높일 필요성을 강조합니다.

자세한 내용은 SecurityWeek의 원문 기사를 참조하시기 바랍니다.