26,000회 다운로드된 악성 npm 패키지 175개, 전 세계 기술 및 에너지 기업 공격

Socket의 위협 연구팀은 26,000회 이상의 다운로드를 기록한 175개의 악성 npm 패키지를 포함하는 정교한 피싱 캠페인을 발견했습니다.

이 캠페인은 모든 패키지에서 일관된 아티팩트를 기반으로 'Beamglea'로 명명되었으며, npm의 공개 레지스트리와 unpkg.com CDN을 악용하여 135개 이상의 산업, 기술 및 에너지 기업을 대상으로 리디렉션 스크립트를 호스팅하는 새로운 유형의 공격을 나타냅니다.

패키지 자체는 설치 중에 악성 코드를 실행하지 않으며, npm 생태계를 자격 증명 수집 작업을 위한 무료 호스팅 인프라로 악용하여 특히 교묘합니다.

패키지의 무작위 이름은 redirect-[a-z0-9]{6} 패턴을 따르며, 우연한 개발자 설치 가능성을 낮추지만, 상당한 다운로드 수는 보안 연구원, 자동 스캐너 및 CDN 인프라가 공개 후 패키지를 분석한 결과일 가능성이 큽니다.

위협 행위자는 전체 캠페인을 자동화하기 위해 포괄적인 Python 도구를 개발하여 구매 주문서 및 프로젝트 문서로 테마화된 피해자 맞춤형 HTML 피싱 미끼를 생성했습니다.

'beamglea'의 기원과 의미는 불분명하지만, 공격자들이 사용하는 코드명이나 내부 참조일 수 있습니다.

Socket.dev 분석가는 이 캠페인을 정기적인 스캔 작업의 일환으로 식별했으며, 처음으로 피싱 인프라를 발견한 Safety의 Paul McCarty의 초기 발견을 기반으로 하고 있습니다.

연구원들은 이 캠페인과 관련된 대부분의 패키지가 작성 시점에 여전히 활성 상태임을 지적하며, npm 레지스트리에서의 제거와 위협 행위자의 계정 정지를 즉각적으로 요청했습니다.

이 캠페인은 기술 구현의 놀라운 정교함을 보여주며, 공급망 악용 기술의 우려스러운 진화를 나타냅니다.