Node.js JavaScript 런타임 환경의 기본 패키지 관리자인 NPM에서 "논리적 결함"이 공개되어 악의적인 행위자가 악성 라이브러리를 합법적인 라이브러리로 가장하고 순진한 개발자가 이를 설치하도록 속일 수 있습니다. 클라우드 보안 회사 Aqua의 연구원들은 공급망 위협을 "패키지 플랜팅(Package Planting)"이라고 불렀습니다. 2월 10일 책임 있는 공개 이후, 근본적인 문제는 4월 26일 NPM에 의해 수정되었습니다. Aqua의 Yakir Kadkoda 는 화요일에 발표된 보고서에서 "최근까지 NPM은 사용자에게 알리거나 동의를 얻지 않고 누구나 패키지 관리자로 추가할 수 있도록 허용했습니다."라고 말했습니다. 이는 공격자가 맬웨어로 연결된 패키지를 만들어 자신도 모르게 신뢰할 수 있고 인기 있는 유지 관리자에게 할당할 수 있음을 의미합니다. 여기서 아이디어는 다른 인기 있는 NPM 라이브러리와 관련된 신뢰할 수 있는 소유자를 공격자가 제어하는 중독된 패키지에 ...
원문링크 : NPM 버그로 인해 공격자가 멀웨어를 합법적인 패키지로 배포할 수 있음
네이버 블로그
티스토리
커뮤니티