최근에 npm 라이브러리에서 악성코드에 대한 이슈가 많아지고 있습니다.
https://jfrog.com/blog/malware-civil-war-malicious-npm-packages-targeting-malware-authors/
25 Malicious Packages Discovered in npm Repository
JFrog discovers 25 open-source npm malicious packages, including one that targets malware authors to hijack stolen Discord tokens. Find out more >
jfrog.com
최근에 jfrog에서 npm 저장소에 있는 25개의 악성 패키지를 공개했으며, 이 패키지는 자동화된 검색 도구에 의해 선택되었습니다. 보고된 모든 악성 패키지는 npm 관리자에 의해 신속하게 제거되었습니다.
해당 패키지들은 Masquerading, Typosquatting 기술을 활용하여 유명 라이브러리들을 사칭하고 있었습니다.
Malicious packages summary
| Package | Payload | Infection Method |
| node-colors-sync | Discord token stealer | Masquerading (colors) |
| color-self | Discord token stealer | Masquerading (colors) |
| color-self-2 | Discord token stealer | Masquerading (colors) |
| wafer-text | Environment variable stealer | Typosquatting (wafer-*) |
| wafer-countdown | Environment variable stealer | Typosquatting (wafer-*) |
| wafer-template | Environment variable stealer | Typosquatting (wafer-*) |
| wafer-darla | Environment variable stealer | Typosquatting (wafer-*) |
| lemaaa | Discord token stealer | Hidden functionality |
| adv-discord-utility | Discord token stealer | Unknown |
| tools-for-discord | Discord token stealer | Unknown |
| mynewpkg | Environment variable stealer | Unknown |
| purple-bitch | Discord token stealer | Unknown |
| purple-bitchs | Discord token stealer | Unknown |
| noblox.js-addons | Discord token stealer | Masquerading (noblox.js) |
| kakakaakaaa11aa | Connectback shell | Unknown |
| markedjs | Python remote code injector | Masquerading (marked) |
| crypto-standarts | Python remote code injector | Masquerading (crypto-js) |
| discord-selfbot-tools | Discord token stealer | Masquerading (discord.js) |
| discord.js-aployscript-v11 | Discord token stealer | Masquerading (discord.js) |
| discord.js-selfbot-aployscript | Discord token stealer | Masquerading (discord.js) |
| discord.js-selfbot-aployed | Discord token stealer | Masquerading (discord.js) |
| discord.js-discord-selfbot-v4 | Discord token stealer | Masquerading (discord.js) |
| colors-beta | Discord token stealer | Masquerading (colors) |
| vera.js | Discord token stealer | Unknown |
| discord-protection | Discord token stealer | Unknown |
Lemaa 패키지는 실제로 자신들이 할 것을 README로 작성하고, 이행했다는 점에서 눈여겨볼만합니다. 굳이 숨길 생각을 하지도 않고, 대놓고 저지르는 것이죠.
제공된 디스코드 토큰을 사용하여 피해자 신용카드 정보를 탈취하거나, 아이디 비밀번호를 모두 가져가고 있습니다. 그리고 특이하게도 모든 친구들을 제거하는 악성 코드도 있었습니다.
오픈소스 라이브러리는 개발에 편리함을 가져다 줄 수 있습니다. 그러나, 계속 증가하는 개발자와 생태계등을 대상으로 정보 탈취등의 공격이 지속되면서 무작정 가져다 쓰는 개발자가 되면은 안됩니다. 안전한 패키지 관리가 곧, 개발을 빠르게 하고 안정적인 배포로 이어질테니 라이브러리에 대한 경각심이 필요합니다.
'Web > Library' 카테고리의 다른 글
| [Konva] Next에서 Konva사용하기 (0) | 2022.03.09 |
|---|---|
| [Konva] 맥북 m1 cannot find module '../build/release/canvas.node' error (0) | 2022.03.09 |
| [D3] D3 Enter Update Exit with React (0) | 2022.03.07 |
| [라이브러리] faker.js color.js 라이브러리는 어디갔을까? (0) | 2022.02.24 |
| [Recoil-rendering] Recoil에서의 같은 값 렌더링 방지 (0) | 2022.02.22 |