2026년 3월 31일, 주간 다운로드 약 1억 회의 axios npm 패키지가 공급망 공격에 노출됐다. 공격자는 주요 메인테이너 계정을 탈취해 악성 버전 2종을 게시했으며, 숨겨진 의존성의 postinstall 훅을 통해 Windows·macOS·Linux를 대상으로 하는 크로스플랫폼 RAT를 자동 설치했다. 악성 버전은 약 3시간 만에 제거됐으나 해당 시간대에 npm install을 실행한 환경은 침해 위험에 노출됐다.
| 취약점 | |
|---|---|
| 취약점 공개일 | 2026년 3월 31일 |
| 취약점 점수 | CVSS 미평가 (GHSA-fw8c-xr5c-95f9 / MAL-2026-2306 추적 중) |
| 설명 | 메인테이너 계정 탈취 후 악성 의존성([email protected]) 주입 → postinstall 훅으로 크로스플랫폼 RAT 자동 설치 |
| 취약점 영향 제품 | [email protected], [email protected] |
| 악용 사례 | C2 서버(sfrclak[.]com:8000) 통신을 통한 자격증명 탈취, 시스템 정찰, 소스코드 수집, 측면 이동 준비 정황 확인 |
| 날짜 | 이벤트 |
|---|---|
| 📍 2026-03-30 05:57 UTC | 공격자, 더미 계정([email protected])으로 [email protected] 게시 — 레지스트리 신뢰도 사전 확보 |
| 📍 2026-03-30 23:59 UTC | [email protected] 게시 — postinstall 훅에 악성 페이로드 삽입 |
| 📍 2026-03-31 00:21 UTC | 탈취 계정(jasonsaayman)으로 [email protected] (latest 태그) 게시 |
| 📍 2026-03-31 01:00 UTC | [email protected] (legacy 태그) 추가 게시 — latest·legacy 채널 동시 장악 |
| 📍 2026-03-31 01:50 UTC | Elastic Security Labs, GitHub Security Advisory 제출 |
| 📍 2026-03-31 03:15~03:30 UTC | npm, 악성 버전 제거 완료 (총 노출 시간 약 3시간) |
lockfile에서 영향 버전 확인
[email protected] / [email protected] / [email protected]
node_modules 내 악성 의존성 존재 여부 확인
ls node_modules/plain-crypto-js
# 디렉터리 존재 시 드로퍼 실행된 것으로 판단
OS별 RAT 아티팩트 경로 확인
| OS | 경로 |
|---|---|
| macOS | /Library/Caches/com.apple.act.mond |
| Windows | %PROGRAMDATA%\\wt.exe |
| Linux | /tmp/ld.py |
네트워크 로그에서 C2 통신 흔적 확인
sfrclak[.]com:8000 아웃바운드 연결 여부
⚠️ RAT 아티팩트 확인 시 인플레이스 정리 시도 금지 — 시스템 재구성 필요
즉각 조치
[email protected] / 0.x → [email protected]