npm

공격자가 JavaScript에서 가장 인기 있는 HTTP 클라이언트 라이브러리 Axios의 수석 유지 관리자의 npm 접근 토큰을 탈취하고, 해당 토큰을 이용해 크로스 플랫폼 원격 접근 트로이 목마(RAT)가 포함된 두 개의 악성 버전(axios@1.14.1 및 axios@0.3.4)을 배포했습니다. 이들은 macOS, Windows 및 Linux 시스템을 대상으로 하였습니다. 악성 패키지는 npm 레지스트리에서 약 3시간 동안 생존한 후 제거되었습니다.보안 회사 Wiz의 데이터에 따르면, Axios는 매주 1억 회 이상 다운로드되며, 약 80%의 클라우드 및 코드 환경에 존재합니다. 보안 회사 Huntress는 악성 패키지가 온라인에 올라온 지 89초 만에 첫 번째 감염을 감지하였고, 노출 기간 동안 최소 135개의 시스템이 침해되었음을 확인했습니다. 주목할 점은 Axios 프로젝트가 이전에 OIDC 신뢰할 수 있는 배포 메커니즘과 SLSA 추적 증명과 같은 현대적인 보안 조치를 배포했지만, 공격자가 이러한 방어선을 완전히 우회했다는 것입니다. 조사 결과, 프로젝트가 OIDC를 구성하는 동시에 전통적인 장기 유효 NPM_TOKEN을 유지하고 있었으며, npm은 두 토큰이 공존할 때 기본적으로 전통적인 토큰을 우선 사용하여 공격자가 OIDC를 우회하여 배포를 완료할 수 있었습니다.

느림안개가 다시 안전 경고를 발표하며 axios 악성 버전 및 OpenClaw npm 전역 설치 이력 노출 위험을 주의하라고 알렸습니다. axios@1.14.1과 axios@0.3.4는 악성 버전으로 확인되었으며, 두 버전 모두 plain-crypto-js@4.2.1에 의존성이 심어져 있으며, postinstall 스크립트를 통해 크로스 플랫폼 악성 페이로드를 전달합니다.OpenClaw의 영향을 받는 상황은 시나리오에 따라 판단됩니다: 소스 코드 빌드는 영향을 받지 않으며, 잠금 파일이 1.13.5/1.13.6 버전을 고정하고 있기 때문입니다. 그러나 npm install -g openclaw@2026.3.28로 설치한 사용자에게는 이력 노출 위험이 존재합니다. 그 이유는 의존성 체인에 optionalDependencies.axios@^1.7.4가 존재하여, 악성 버전이 여전히 온라인인 시간 창 내에 axios@1.14.1로 해석될 수 있기 때문입니다. 현재 npm은 axios@1.14.0으로 해석을 되돌렸지만, 공격 창 내에 설치된 환경은 여전히 점검을 권장합니다. 느림안개는 각 플랫폼의 점검 명령과 IoC 경로를 제공했으며, plain-crypto-js 디렉토리가 존재하는 경우, package.json이 정리되었더라도 고위험 실행 흔적으로 간주해야 합니다. 영향을 받은 호스트는 즉시 자격 증명을 교체하고 호스트 측 점검을 진행할 것을 권장합니다. 이전 소식에 따르면, 느림안개 창립자 유선은 OpenClaw 3.28 버전이 악성 버전의 axios를 도입할 수 있다고 경고하며, 사용자는 긴급 점검이 필요하다고 밝혔습니다.

시장 소식에 따르면, Socket이 npm 핵심 패키지 axios의 1.14.1 버전에서 활발한 공급망 공격을 감지했습니다. 공격자는 악성 의존성 패키지를 주입하여 axios에 악성 코드를 심었습니다. axios를 사용하는 개발자는 즉시 버전을 고정하고 프로젝트 잠금 파일을 검토할 것을 권장합니다.

Cryptopolitan에 따르면, GhostClaw라는 이름의 새로운 악성 소프트웨어가 macOS 장치의 암호화 지갑을 겨냥하고 있습니다.이 악성 소프트웨어는 합법적인 OpenClaw CLI 도구로 가장하여 npm 레지스트리에 일주일 동안 존재하다가 178명의 개발자를 감염시킨 후 제거되었습니다. 개발자가 "npm install" 명령을 실행하면, 숨겨진 스크립트가 GhostClaw 패키지를 전역으로 설치하고 혼란스러운 설정 파일을 통해 탐지를 피합니다. GhostClaw는 3초마다 클립보드를 스캔하여 개인 키, 니모닉, 공개 키 등 암호화 지갑 및 거래 관련 데이터를 캡처합니다.두 번째 단계의 페이로드가 다운로드된 후, GhostLoader는 Chromium 브라우저, macOS 키체인 및 시스템 저장소에서 암호화 지갑 데이터를 스캔하고, 브라우저 세션을 복제하여 로그인된 지갑에 대한 접근 권한을 얻으며, OpenAI 및 Anthropic과 같은 AI 플랫폼에 연결된 API 토큰을 훔칩니다. 훔친 데이터는 Telegram, GoFile 및 명령 서버를 통해 공격자에게 전송됩니다.

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

据 GMGN 数据，BAGS 生态 Meme 代币 NPM 出现短时急跌，市值自高点 890 万美元下行触及 80 万美元，1 小时跌超 80%，上线 5 小时成交量 1,320 万美元。据悉，NPM 代币叙事为致敬全球最大包管理器 NPM 创始人 Isaac Z. Schlueter，其被誉为程序员界的 "V 神"。ChainCatcher 提醒用户，Meme 币多无实际用例，价格波动较大，投资需谨慎。

느린 안개 기술 최고 정보 보안 책임자 23pds 보안 경고 발표NPM 공급망 공격의 최신 변종 "Shai-Hulud 3"가 다시 나타났습니다. 각 프로젝트 팀과 플랫폼은 방어에 주의해 주시기 바랍니다. 이전에 Trust Wallet API 키 유출이 Shai-Hulud 2 공격의 원인으로 의심되었습니다.Shai-Hulud는 NPM 생태계를 겨냥한 자가 전파 웜형 공급망 공격의 일련으로, 개발자 자격 증명, 클라우드 키 및 환경 비밀을 탈취하는 데 사용됩니다. 최신 변종(커뮤니티에서 Shai-Hulud 3 또는 새로운 변종으로 불림)은 2025년 12월 28일 Aikido Security 연구원 Charlie Eriksen에 의해 발견되었으며, 현재 전파 범위는 제한적이며, 아마도 테스트 단계에 있을 것입니다.

느린 안개 기술 최고 정보 보안 책임자 23pds 보안 경고 발표NPM 공급망 공격의 최신 변종 "Shai-Hulud 3"가 다시 발생했습니다. 각 프로젝트 팀과 플랫폼은 방어에 주의해 주시기 바랍니다. 이전에 Trust Wallet API 키 유출이 Shai-Hulud 2 공격의 원인일 수 있다고 의심되었습니다.

ChainCatcher 메시지, Scam Sniffer가 NPM 공급망을 겨냥한 또 다른 공격 사건을 모니터링했습니다. @ctrl/tinycolor(주간 다운로드 수 220만 회)가 악성 버전을 배포했으며, 이 버전은 npm의 postinstall(설치 후) 스크립트 실행 시 정보 탈취 프로그램을 실행하여 민감한 데이터를 스캔하고 탈취합니다.이 악성 페이로드는 합법적인 민감 정보 스캔 도구인 TruffleHog를 남용했습니다. 영향을 받은 버전을 다운로드했는지 확인하고, 설치/업데이트 작업을 중단하며, 버전을 알려진 안전한 버전으로 고정하십시오.

ChainCatcher 메시지, DuckDB 공식 트위터에 따르면, DuckDB의 Node.js 및 Wasm 소프트웨어 패키지가 최근 npm 공급망 공격에서 악성 소프트웨어에 감염되었다고 합니다. 공식은 조사 후 영향을 받은 버전을 폐기하고 새로운 버전을 발표했습니다. DuckDB는 npm 데이터에 따르면, 현재 영향을 받은 패키지를 다운로드한 사용자는 없다고 밝혔습니다. 팀은 사후 분석 및 대응 조치를 자세히 설명하는 보안 공지를 발표했습니다.

ChainCatcher 메시지, 느린 안개 기술의 최고 정보 보안 책임자 23 pds가 X 플랫폼에 글을 올리며, DuckDB NPM 계정이 해킹당했으며, 악성 버전 duckdb, duckdb-wasm 등이 배포되었다고 전했습니다. 이 악성 소프트웨어는 공급망 공격에서 발생한 지갑 탈취 악성 소프트웨어와 일치합니다. 위험 방지에 주의하세요.

ChainCatcher 메시지에 따르면, CertiK Alert 모니터링 결과, 개발자 Qix의 NPM 계정이 피싱 공격을 받았으며, 공격자가 악성 코드를 npm에 주입했습니다. Security Alliance에 따르면, 공격자는 약 0.05 달러의 ETH와 20 달러의 Meme 코인만을 얻은 것으로 보입니다.이전에 보도된 바에 따르면, Ledger의 최고 기술 책임자 Charles Guillemet는 "현재 대규모 공급망 공격이 발생하고 있습니다: 한 유명 개발자의 NPM 계정이 해킹당했습니다. 영향을 받은 패키지의 다운로드 수는 10억 회를 초과했으며, 이는 전체 JavaScript 생태계가 위험에 처할 수 있음을 의미합니다. 악성 코드의 작동 원리는 백그라운드에서 암호화폐 주소를 조용히 변조하여 자금을 훔치는 것입니다."라고 언급했습니다.

ChainCatcher 메시지에 따르면, 시장 소식에 의하면 유명 개발자 qix가 피싱 공격으로 인해 npm 소프트웨어 패키지에 악성 코드가 주입되었으며, 관련 패키지에는 chalk, strip-ansi, color-convert 등이 포함됩니다.공격 방식은 지갑 기능을 훔치고, ETH/SOL 거래 수취 주소를 변조하며, 네트워크 응답의 주소를 교체하는 것입니다. 사용자 권장 사항: 반드시 지갑 인터페이스에서 수취인과 금액을 확인하고, 붙여넣기 후 주소 변화를 점검하며, 최근 거래를 재검토하고, 고가치 작업은 하드웨어 지갑을 우선 사용하세요.

ChainCatcher 메시지, Socket 보안 연구 팀은 바이낸스 스마트 체인(BSC)과 이더리움(Ethereum) 사용자 지갑을 겨냥한 네 개의 악성 npm 패키지를 발견했습니다. 이 패키지는 각각 pancake_uniswap_validators_utils_snipe(350회 다운로드), pancakeswap-oracle-prediction(445회 다운로드), ethereum-smart-contract(305회 다운로드) 및 env-process(1,054회 다운로드)로, 총 다운로드 수는 2,100회를 초과했습니다.공격자는 혼란스러운 JavaScript 코드를 통해 목표 지갑 잔액의 백분율을 계산하고 최대 85%의 자산을 자신의 제어 지갑 주소로 전송하려고 시도합니다.

ChainCatcher 메시지에 따르면, 암호화 보안 연구 기관 Aikido Security가 모니터링한 결과, 공식 XRPL NPM 패키지에서 보안 취약점이 발견되었습니다. 이 백도어 프로그램은 사용자 개인 키를 훔쳐 공격자에게 전송합니다. 영향을 받는 버전은 4.2.1에서 4.2.4까지이며, Aikido Security는 이전 버전을 사용하는 사용자에게 버전 업그레이드를 하지 말 것을 권장합니다.