822K 다운로드가 위험에 처해 있습니다: AWS 및 개인 키를 탈취하는 악성 node-ipc 버전이 발견되었습니다

• 주요 내용:</span></p>
• <ul>
• <li><span style="font-weight: 400;"> 슬로우미스트는 5월 14일, 주간 npm 다운로드 82만 2,000건 이상을 노린 세 가지 악성 node-ipc 버전을 발견했습니다.</span></li>
• <li><span style="font-weight: 400;"> 80KB 크기의 페이로드는 DNS 터널링을 통해 AWS 키 및 .env 파일을 포함한 90개 이상의 인증 정보 카테고리를 탈취합니다.</span></li>
• <li><span style="font-weight: 400;"> 개발자는 즉시 안전한 node-ipc 버전으로 고정하고, 노출 위험이 있는 모든 비밀 정보를 교체해야 합니다.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

위협에 노출된 개발자 시크릿

블록체인 보안 기업 Slowmist는 자사의 Misteye 위협 인텔리전스 시스템을 통해 이 공격을 탐지하고, 9.1.6, 9.2.3, 12.0.1 버전을 포함한 세 가지 악성 릴리스를 확인했습니다. Node.js 환경에서 프로세스 간 통신(IPC)을 가능하게 하는 node-ipc 패키지는 암호화폐 생태계 전반에 걸쳐 분산형 애플리케이션(dApp) 빌드 파이프라인, CI/CD 시스템 및 개발자 툴에 내장되어 있습니다.

이 패키지는 주간 평균 822,000회 이상 다운로드되어 공격 표면이 상당히 넓습니다. 세 가지 악성 버전 각각은 패키지의 CommonJS 번들에 동일한 80KB 크기의 난독화된 페이로드를 포함하고 있습니다. 이 코드는 require('node-ipc') 호출 시 무조건 실행되므로, 감염된 릴리스를 설치하거나 업데이트한 모든 프로젝트는 사용자의 개입 없이도 자동으로 이 정보 탈취 프로그램을 실행하게 됩니다.

악성코드가 훔치는 정보

내장된 페이로드는 Amazon Web Services(AWS) 토큰, Google Cloud 및 Microsoft Azure 시크릿, SSH 키, Kubernetes 구성 정보, GitHub CLI 토큰, 셸 히스토리 파일 등 90개 이상의 개발자 및 클라우드 자격 증명 범주를 표적으로 삼습니다. 특히 암호화폐 분야와 관련하여, 이 악성코드는 개인 키, RPC 노드 자격 증명, 거래소 API 시크릿이 자주 저장되는 .env 파일을 표적으로 삼습니다. 도난당한 데이터는 DNS 터널링을 통해 유출되며, 표준 네트워크 모니터링 도구를 회피하기 위해 도메인 이름 시스템(DNS) 쿼리를 통해 파일을 전송합니다. Stepsecurity 연구진은 공격자가

node-ipc의 원본 코드베이스에는 전혀 손을 대지 않았음을 확인했습니다. 대신, 만료된 이메일 도메인을 재등록하여 휴면 상태의 유지보수자 계정을 악용했습니다.

atlantis-software.net 도메인은 2025년 1월 10일에 만료되었으며, 공격자는 2026년 5월 7일 Namecheap을 통해 이를 재등록했습니다. 이후 표준 npm 비밀번호 재설정 절차를 유발하여, 원래 유지보수자의 인지 없이 전체 게시 권한을 획득했습니다.

이 악성 버전은 탐지 및 제거되기 전까지 약 2시간 동안 레지스트리에 남아 있었습니다. 해당 시간 동안 npm install을 실행했거나 의존성을 자동 업데이트한 모든 프로젝트는 잠재적으로 침해된 것으로 간주해야 합니다. 보안 팀은 node-ipc의 9.1.6, 9.2.3 또는 12.0.1 버전에 대해 즉시 락 파일을 감사하고, 마지막으로 검증된 정상 릴리스로 롤백할 것을 권고했습니다.

npm 생태계를 겨냥한 공급망 공격은 2026년 들어 지속적인 위협으로 대두되었으며, 특히 암호화폐 프로젝트는 자격 증명을 통해 직접적인 금융 접근 권한을 얻을 수 있다는 점에서 주요 표적이 되고 있습니다.