XMLRPC npm Library Turns Malicious, Steals Data, Deploys Crypto Miner
- 사건 개요
- 공급망 공격:
@0xengine/xmlrpc라는 npm 라이브러리가 소프트웨어 공급망 공격의 통로로 악용됨 - 출시 및 악성 코드 삽입
- 2023년 10월 2일: XML-RPC 서버 및 클라이언트 라이브러리로 첫 배포
- 2023년 10월 3일: 버전 1.3.4부터 악성 코드 삽입
- 목적
- 민감 데이터 수집: SSH 키, bash 이력, 시스템 메타데이터, 환경 변수
- 암호화폐 채굴: XMRig 기반의 Monero 채굴
- 공급망 공격:
- 공격 메커니즘
- 배포 경로
- npm을 통한 직접 설치
- GitHub 프로젝트(예: yawpp)의 종속 라이브러리로 포함
- 데이터 유출
- 수집된 데이터는 Dropbox 및 file.io를 통해 공격자 서버로 전송
- 지속성 확보 및 채굴
- systemd를 통해 호스트 시스템에 지속성(persistence) 확보
- 사용자 활동을 감지하면 채굴 작업 일시 중지
- 탐지 회피:
top,ps등 명령어 실행 시 채굴 프로세스 종료
- 배포 경로
- 확산 및 영향
- 68개 시스템에서 Monero 채굴 확인
- npm 및 PyPI에서 다수의 가짜 패키지(typosquatting)가 추가 발견됨
- 예: Roblox 개발자를 겨냥한 가짜 패키지
- 보안 권고
- 패키지 설치 전 검증 강화: 패키지 소스와 버전 이력 철저히 검토
- 의존성 관리 강화: 사용 중인 프로젝트의 종속 라이브러리 정기 점검
- 보안 모니터링 도입: 시스템 활동(예: SSH 키 접근, 이상 트래픽)을 실시간으로 감시
- 암호화폐 채굴 탐지 도구 활용: XMRig 및 기타 채굴 활동 탐지 및 차단
- 공급망 보안 강화: npm, PyPI 등 패키지 레지스트리의 코드 및 메타데이터 검증 절차 강화
- 결론
- 이번 사건은 소프트웨어 공급망의 취약점이 악성 코드 배포와 암호화폐 채굴의 주요 경로로 활용되고 있음을 보여줌
- 개발자 및 조직은 의존성 관리를 더욱 강화하고, 공급망 보안을 우선시해야 함
- npm 및 PyPI와 같은 패키지 생태계의 투명성 및 보안 체계 개선이 요구됨
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Advantech 산업용 Wi-Fi 액세스 포인트에서 발견된 다수의 취약점 (2) | 2024.12.01 |
|---|---|
| Microsoft 취약점 패치: 권한 상승 및 정보 유출 방지 (1) | 2024.11.30 |
| CISA, Fortinet 및 Ivanti 취약점 KEV 목록에 추가 (0) | 2024.11.25 |
| WordPress Jetpack 플러그인 치명적 취약점, 2,700만 개 사이트에 영향 (0) | 2024.11.24 |
| Veeam 취약점 악용을 통한 Akira 및 Fog 랜섬웨어 확산 (0) | 2024.11.23 |