[포인트 콕콕] 악성 npm 패키지 주의보

암호화폐 지갑과 민감 정보를 훔치도록 설계된 악성 npm 패키지들이 발견됐다. 이를 제일 처음 알아차린 보안 기업 리버싱랩스(ReversingLabs)는 이것들이 하나의 캠페인 아래 치밀하게 확산된 거라 보고 있으며, 해당 캠페인에 고스트(Ghost)라는 이름을 붙여 추적 중에 있다. 고스트 캠페인의 주동자는 미킬란질로(mikilanjillo)라는 이름으로 활동하는 인물로 보인다.

어떤 패키지가 어떤 악성 기능 가지고 있었나?

현재까지 밝혀진 악성 npm 패키지들은 다음과 같다.
1) react-performance-suite
2) react-state-optimizer-core
3) react-fast-utilsa
4) ai-fast-auto-trader
5) pkgnewfefame1
6) carbon-mac-copy-cloner
7) coinbase-desktop-sdk

이 7개 패키지들은 다음과 같은 특성을 가지고 있다.
1) 정상 패키지처럼 보이게끔 위장돼 있다. 이름도 그렇지만 깃허브 별점이나 다운로드 수를 인위적으로 꾸미는 작업도 잊지 않았다.

2) 패키지 설치 과정에서 가짜 npm 설치 로그를 출력한다. 피해자는 이를 보고 정상 설치 과정으로 오인한다.

3) 수도(sudo) 비밀번호 피싱 기능을 가지고 있다. 이를 통해 공격자는 정상 프로그램이 설치되는 것처럼 보이게 만든 뒤 비밀번호 입력을 유도할 수 있게 된다.

4) 사용자가 3)에서 입력한 비밀번호를 메모리에 저장한 후 공격자에게 전달한다.

5) 2차 다운로더를 다운로드한 뒤 악성코드 설치 준비를 마친다. 비밀번호를 빼돌린 뒤 본격 공격을 감행하려는 것이다.

6) 방금 5)에서 설치된 다운로더는 텔레그램 채널과 연결돼 있다. 그 채널에서부터 악성 페이로드와 복호화 키 등을 가져온다. 공격자가 원격에서 다운로더 및 추가 멀웨어를 쉽게 관리할 수 있게 된다.

7) 추가 페이로드가 텔레그램 채널에서부터 전달된다. 보통은 정보를 탈취하는 ‘인포스틸러’다.

8) 브라우저 데이터, 개발자 환경 정보, 시스템 정보, 클라우드 크리덴셜, 암호화폐 지갑 정보 등 광범위한 정보가 새나간다. 텔레그램 채널이나 별도의 C&C 서버로 전송된다.

9) 각종 기록들을 삭제함으로써 흔적이 남지 않게 한다. 분석과 추적이 어렵게 된다.

10) 이 모든 행위를 하면서 화면에는 정상 설치 메시지를 출력해 피해자가 끝까지 속도록 만든다.

배후에는 누가?

리버싱랩스는 이런 활동 패턴이 3월 초 또 다른 보안 기업 제이프로그(JFrog)가 고발했던 악성 캠페인과 여러 가지 면에서 유사하다고 보고 있다. 당시 제이프로그는 해당 캠페인에 고스트클로(GhostClaw)라는 이름을 붙였었다. 고스트와 고스트클로 간 유사점을 정리하면 다음과 같다.

1) 개발자를 노리는 공급망 공격 형태를 가지고 있다. 고스트는 악성 npm 패키지로, 고스트클로는 악성 깃허브 프로젝트로 개발자들을 노린다.

2) 정상 개발 도구를 사칭한다. 개발 유틸리티, 리액트(React) 라이브러리, SDK 등 개발자들에게 친숙한 이름들로 위장돼 있다.

3) 초기 스크립트 실행 -> 다운로더 실행 -> C&C에서 추가 페이로드 다운로드 -> 최종 정보 탈취 멀웨어 설치. 공격의 흐름이 동일하다고 해도 될 만큼 비슷하다. 물론 약간의 변주들도 존재한다.

4) Node.js 환경을 적극 활용한다. 때문에 보안 도구가 잘 탐지하지 못한다.

5) 맥OS 개발자가 주요 표적이다. 

6) 최종적으로 사용되는 정보 탈취 멀웨어가 특히 크리덴셜을 집중적으로 노린다.

7) 가짜 설치 화면을 통해 피해자의 눈을 속인다.

8) 공격이 끝난 후 흔적을 제거하는 단계를 거친다.

9) 일부 악성 패키지들이 동일한 업로더(미킬란질로)를 통해 공개됐다.

표적이 된 개발자들, 뭘 얻어가야 하는가?

1) 패키지는 기본적으로 신뢰할 수 없는 요소다. 그러므로 다운로드 후 설치 전, 메인테이너 활동 이력이나 최근 커밋 패턴, 다운로드 수 증가 패턴 등 다각도 확인이 필수다.

2) 설치 과정에서 나타나는 sudo 요청은 위험신호로 간주해야 한다. Npm 패키지 설치 중 sudo는 절대 사용되지 않는다는 걸 기억해야 한다.

3) 개발자 계정은 공격자가 가장 좋아하는 먹잇감이다. 그러니 계정 보호에 심혈을 기울여야 한다.

4) 개발 환경 역시 공격자가 가장 좋아한느 먹잇감이다. 그러니 일반 PC들이 연결된 망과 분리시켜야 한다.

5) 디펜던시 자동 설치는 점점 위험한 행위로 변질되고 있다. 디펜던시 스캔 도구나 소프트웨어 물자표(SBOM) 등 활용 가능한 도구들을 습관처럼 사용해야 한다.

6) 개발자가 표적인 걸 조직 차원에서 인지해야 한다. 그래야 개발 관련 절차와 워크플로우를 보호하고, 보안 정책을 수립할 수 있게 된다. 해커는 힘을 합해 공격하는데, 개발자더러 개인 플레이를 하라는 건 무리한 요구다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• ReversingLabs가 ‘Ghost’ 캠페인으로 명명한 공격이 react-performance-suite, react-state-optimizer-core, ai-fast-auto-trader 등 7개 악성 npm 패키지를 통해 사용자의 sudo 비밀번호를 피싱하고, GhostLoader를 내려받아 크리덴셜·시스템 정보·암호화폐 지갑을 탈취하는 과정을 분석한 보고 「Ghost Campaign Uses 7 npm Packages to Steal Crypto Wallets and System Credentials」 - The Hacker News , 2026년[1]
• npm 에코시스템을 노린 대규모 소프트웨어 공급망 공격에서 공격자가 인기 패키지의 업데이트 체인을 악용해 악성 버전을 배포하고, 빌드 서버·클라우드 환경으로 확산되는 메커니즘을 분석한 「Breakdown: Widespread npm Supply Chain Attack Puts Billions of Downloads at Risk」 - Palo Alto Networks Unit 42 , 2025년[4]
• XML-RPC 구현을 가장한 npm 패키지가 2023년 10월부터 2024년 11월까지 1년 넘게 활동하며 수차례 업데이트를 통해 암호화폐 마이닝과 데이터 탈취를 함께 수행한 공급망 공격 사례를 분석한 「Dozens of Machines Infected: Year-Long NPM Supply Chain Attack Combines Crypto Mining and Data Theft」 - Checkmarx , 2025년(캠페인 기간은 2023~2024년)[8]
• 2024년 11월 소프트웨어 공급망 보안 이슈를 정리하면서, 공격자들이 먼저 정상 패키지로 신뢰를 쌓은 뒤 악성 업데이트를 푸시하는 ‘legitimate-first’ 전략과 npm에서의 암호화폐 탈취·마이닝용 악성 패키지 확산 트렌드를 정리한 「November 2024 in Software Supply Chain Security」 - Checkmarx , 2025년(분석 대상 캠페인은 2024년 활동)[10]

NPM 사용 중인 개발자 노리는 가짜 패키지

💡 Editor’s Pick - 유명 왓츠앱의 비공식 API인 베일리즈 - 이 베일리즈의 포트 중 하나로 위장된 로터스베일 - 로터스베일, 사실은 각종 민감 정보 훔치는 멀웨어 악성 패키지가 공공 리포지터리인 NPM에서 발견됐다. 크리덴셜 및 각종 데이터를 훔치는 기능을 내포하고 있는 이 패키지의 이름은 로터스베일(Lotusbail)이며, 이미 널리 사용되고 있는 유명 패키지인

더테크엣지(The Tech Edge)문가용 기자

NPM 패키지에서 악성 웜 빠르게 퍼지고 있어

💡Editor’s Pick - 9월 중순에 갑자기 등장한 웜 - 자가 증식으로 빠르게 퍼지며 비밀 탈취 및 공개 - 개발자들에게 경고하는 속도보다 확산 속도 더 빨라 새로운 컴퓨터 웜이 NPM에서 발견됐다. 누군가 개발자들을 노린 공급망 공격을 시도한 것으로 보인다. 보안 업체 리버싱랩스(ReversingLabs)가 제일 먼저 발견해 세상에 알렸다. “웜의 이름은

더테크엣지(The Tech Edge)문가용 기자