보안 연구원들이 널리 사용되는 JavaScript 패키지를 오염시키고 개발자 자격 증명을 노린 새로운 npm 공급망 공격을 보고했습니다. JFrog는 Rust 기반 정보 탈취 프로그램인 IronWorm이 36개의 npm 패키지를 감염시켰으며, 탈취한 자격 증명을 사용해 npm의 신뢰할 수 있는 게시(Trusted Publishing) 워크플로와 연결된 자격 증명을 포함하여 추가적인 트로이 목마화된 패키지 버전을 게시할 수 있다고 밝혔습니다. Dark Reading은 이번 캠페인이 개발자를 표적으로 삼아 자격 증명을 훔치고 이를 소프트웨어 공급 채널 전체에 전파하는 데 재사용하려 했다고 설명했습니다. 이와 별도로 StepSecurity는 "Phantom Gyp"라고 명명한 관련 npm 캠페인을 분석하며, 공격자가 package.json 수명 주기 스크립트에 의존하는 대신 157바이트 크기의 binding.gyp 파일을 사용하여 npm 설치 중에 코드 실행을 유도했다고 밝혔습니다....

Read the original article