[위협 분석] 북한 라자루스(Lazarus) 그룹이 배포한 악성 npm 패키지 감염 사례

최근 북한의 라자루스(Lazarus) 해킹 그룹이 npm(Node Package Manager) 저장소를 통해 악성 패키지를 배포해 수백 명의 개발자들이 피해를 입은 사실이 확인되었습니다.

현재까지 발견된 악성 패키지의 다운로드 수는 약 330회로 확인됩니다. 그러나 이를 다운로드한 개발자들이 해당 패키지를 포함해 각종 애플리케이션을 빌드했다면, 이를 인지하지 못한 사용자가 해당 애플리케이션을 설치하거나 실행하는 과정에서 악성코드에 간접적으로 감염될 가능성이 있습니다. 이는 소프트웨어 공급망 공격(Supply Chain Attack)의 전형적인 사례로, 광범위한 피해로 이어질 수 있습니다.

사건 개요

• 발견된 악성 패키지 수: 총 6개
• 다운로드 횟수: 약 330회
• 공격 기법: 타이포스쿼팅(typosquatting)을 이용하여 인기 패키지의 오타를 통해 개발자가 악성 패키지를 설치하도록 유도

다음은 문제가 되고 있는 악성 npm 패키지 6가지 종류 목록입니다.

주요 내용

• 악성 패키지 식별: 라자루스 그룹과 연관된 6개의 악성 npm 패키지가 발견되었으며, 악성 패키지는 최소 330회 다운로드되었습니다.
• 공격 기법: 이러한 패키지는 타이포스쿼팅(typosquatting) 기법을 사용하여 개발자가 인기 있는 패키지 이름을 오타로 입력하여 접근할 경우, 악성 패키지를 설치하게끔 유도하였습니다.
• 이전 사례: 라자루스 그룹은 이전에도 GitHub 및 Python 패키지 인덱스(PyPI)에서 유사한 공격을 수행한 바 있습니다.

해당 사례와 같이 npm 저장소를 통해 악성 패키지를 배포하는 공격 유형은 향후 더욱 증가할 것으로 보입니다. 이렇게 유포된 악성 개발자 도구를 다운로드한 개발자가 1차적인 공격 대상이 되며, 이를 기반으로 빌드된 애플리케이션과 이를 이용하는 수많은 이용자들에게 추가적인 피해가 발생할 가능성이 큽니다. 특히, 일부 악성 패키지는 백도어 설치나 사용자 인증(크리덴셜) 정보 유출과 같은 악의적인 행위도 포함되어 있기 때문에, 개발자 도구를 위장한 공급망 공격의 심각성은 더욱 커질 것으로 예상됩니다.

개발자는 신규 개발자 도구 패키지를 무조건 신뢰하기 보다 많은 개발자들이 검증하고 이용하는 안정적인 공개 패키지를 이용하는 것이 바람직합니다. Logpresso CTI 서비스를 이용 중이시라면 아래에 언급된 관련 침해지표 정보가 자동 업데이트 되어 즉시 사용이 가능합니다.

Logpresso CTI 탐지 가능 버전

• 2024년 08월 22일, 10월 26일, 11월 26일, 11월 29일 이후
• 2025년 03월 12일

침해 지표 요약

악성코드 Hash

IP

URL

Domain:

zkservice.cloud

참고: [1] https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-infect-hundreds-via-npm-packages/