Home > 전체기사

인기 높은 자바스크립트 라이브러리에 악성 코드를 누군가 삽입해

  |  입력 : 2021-10-25 15:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이트 및 장비 식별을 도와주는 자바스크립트 라이브러리인 UAParser.js가 감염된 채 돌아다니고 있다고 미국 정부가 경고했다. 일주일에 800만회 다운로드 되는 패키지라서 그렇다. 공격자들의 최종 목표는 암호화폐 채굴로 보인다.
 
[보안뉴스 문가용 기자] 지난 주말 미국의 사이버 보안 전담 기관인 CISA가 새로운 보안 경고를 발표했다. 코드 리포지터리인 깃허브(GitHub)의 서비스 중 자바스크립트 라이브러리를 공유하는 NPM을 통해 암호화폐 채굴 멀웨어가 유포되고 있다는 내용이었다. 문제가 되고 있는 라이브러리는 인기가 꽤 높은 것으로 UAParser.js라고 한다.
 

[이미지 = utoimage]


UAParser.js는 일주일에 600~800만회 다운로드를 기록하고 있을 정도로 인기가 높고 널리 알려진 라이브러리다. 웹사이트들과 애플리케이션들이 사용되고 있는 브라우저와 시스템을 식별하는 데에 주로 사용된다. 이런 라이브러리와 코드가 공유되는 곳이 NPM인데, 2020년 마이크로소프트의 깃허브가 인수했다.
 
CISA의 경고는 보안 업체 소나타입(Sonatype)이 얼마 전 악성 패키지를 NPM에서 발견한 것에 기인한다. 소나타입에 의하면 최근 UAParser.js가 세 가지 버전으로 업데이트 되었다고 한다. 0.7.29, 0.8.0, 1.0.0 버전으로 모두 민감한 정보를 탈취하는 코드를 포함하고 있었다. UAParser.js를 담당하는 원래 개발자의 계정을 공격자들이 탈취한 것으로 보인다.
 
소나타입에 의하면 “공격자들의 최종 목적은 탈취한 민감 정보를 바탕으로 사용자들의 시스템에 침투해 암호화폐를 불법적으로 채굴하는 것으로 보인다”고 한다. 민감한 정보를 통해 접근한 후 장비를 완전히 장악하고 나서 암호화폐 채굴 멀웨어를 심기 위해 NPM 계정을 탈취한 것으로 보인다는 것이다.
 
현재는 원 개발자가 문제를 전부 해결해 최신 버전을 NPM에 올려놓은 상황이다. 최신 버전은 0.7.30, 0.8.1, 1.0.1이니 UAParser.js의 사용자라면 가장 알맞은 버전을 골라 설치하는 것이 좋다.
 
원 개발자는 인도네시아의 프로그래머인 파이잘 살만(Faisal Salman)이라고 하는 인물이다. 그는 자신이 개발한 프로그램에 누군가 악성 코드를 주입시켰다고 주장하며 자신의 계정이 탈취된 것 같다고 의심했다. “누군가 저의 NPM 계정을 하이재킹한 후 멋대로 업데이트 해서 발표한 것 같습니다. 문제의 버전은 0.7.29와 0.8.0, 1.0.0으로 멀웨어가 심긴 것으로 보입니다.”
 
NPM을 보유하고 있는 깃허브 측에서도 관련된 내용의 경고를 사용자들에게 내보냈다. 최근 인기 높은 자바스크립트 라이브러리인 UAParser.js를 다운로드 받은 사람이라면 감염되었을 가능성이 매우 높다면서 장비에 저장된 민감 정보를 전부 다른 곳으로 옮기라고 경고했다. 당연히 업데이트가 필수라는 내용도 포함되어 있다.
 
깃허브는 “각종 데이터를 옮기고 설치했던 패키지를 삭제하는 게 최선의 방법이지만, 그런다고 해서 설치됐을 악성 스크립트까지 다 지워진다고 보장할 수는 없다”며 “악성 소프트웨어를 찾아서 지우는 작업도 따로 병행하는 것이 좋다”고 발표했다.
 
최근 사이버 공격자들은 소프트웨어 공급망의 일부인 개발자들을 노리는 활동에 많은 노력을 투자하고 있다. 개발자들을 노리는 방법은 여러 가지인데, 그 중 개발자들이 많이 사용하는 코드 공유 사이트들, 즉 리포지터리를 노리는 것도 포함된다. 깃허브는 물론 도커 생태계의 허브인 도커 허브(Docker Hub), 파이선 전용 리포지터리인 PyPL에서도 악성 요소의 유포가 자주 이뤄진다.
 
때문에 개발자들을 대상으로 한 ‘안전한 코딩 문화’가 꾸준히 보안 업계 내에서 강조되고 있기도 하다. 개발자들이 안전한 코딩과 제품 개발을 할 수 있으려면 ‘시큐어 코딩’이 정착되어야 하며, 조직적으로도 안전한 코딩을 위한 정책 개발과 적용이 필수적이다.
 
3줄 요약
1. 인기 높은 자바스크립트 라이브러리, 감염된 채 퍼짐.
2. 해당 라이브러리의 개발자 계정이 침해된 것으로 보임.
3. 공급망 공격 자주 하는 해커들, 개발자들의 리포지터리 노리는 것 즐김.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)