Home > 전체기사

오염된 NPM 라이브러리, 수천 개의 앱들 감염시켜

  |  입력 : 2022-01-10 10:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오픈소스 커뮤니티에 공헌 없는 대기업들에 복수하기 위해서

요약 : 유명 오픈소스 라이브러리인 colors와 faker가 최근 오염됐다. 때문에 이를 사용해 개발된 모든 애플리케이션들이 이상 현상을 일으키기 시작했다. npm이라는 라이브러리 저장소에서부터 오염이 시작된 줄 알았는데, 알고 보니 이 라이브러리의 개발자들이 악성 룹을 스스로 도입한 것으로 밝혀졌다. 이들은 오픈소스를 활용해 온갖 상업 행위를 하는 자들이, 오픈소스 커뮤니티에는 아무 것도 베풀지 않은 것에 대한 복수로 이 같은 짓을 저질렀다고 한다.

[이미지 = utoimage]


배경 : colors는 1주일에 2천만 회 이상 다운로드 되며, 2만 여개의 프로젝트들이 이 colors를 사용하고 있다. faker는 1주일에 2천 8백만 회 이상 다운로드 되며, 2500개 이상의 프로젝트들이 이에 의존하고 있다.

말말말 : “나는 포춘 500대 기업들을 위하여 무료로 봉사하지 않을 겁니다. 앞으로 나의 작품을 사용하고 싶다면 그에 상응하는 대가를 지불해야 할 겁니다. 그 외에 더 할 말은 없습니다.” -마락 스콰이어즈(Marak Squires)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)