초보 개발자가 사이드 프로젝트의 90개가 넘는 버그를 수정하여 npm(npm) 및 소스 빌드 환경에서의 안정성을 확보했습니다. 터미널 환경과의 충돌 등 수많은 디버깅 끝에 완성된 만큼, 기존 사용자와 신규 사용자들에게 프로젝트 재사용을 적극 요청하고 있습니다. 오픈소스 생태계에서 개발자가 직접 코드를 개선하고 커뮤니티의 피드백을 수용하며 성장하는 과정을 보여주는 사례입니다.
가장 널리 쓰이는 JavaScript HTTP 클라이언트 라이브러리 중 하나인 axios의 주요 관리자 계정이 탈취되어 악성 버전(1.14.1, 0.30.4)이 3시간가량 npm에 배포되는 공급망 공격이 발생했습니다. 공격자는 윈도우, macOS, 리눅스용 원격 접속 트로이목마(RAT)를 설치하는 악의적인 의존성을 주입했습니다. 개발자들은 해당 버전을 사용 중인지 즉시 확인하고, 감염된 환경의 모든 비밀키를 교체하는 등 비상 조치를 취해야 합니다.
TeamPCP라는 해킹 그룹이 널리 사용되는 오픈소스 취약점 스캐너인 Trivy의 깃허브 계정을 해킹하는 등 대규모 공급망 공격을 감행했습니다. 이들은 개발자의 npm 접근 토큰을 탈취해 악성코드가 스스로 전파되는 'CanisterWorm'을 배포했으며, 이란 IP 대역의 기기를 감지하면 데이터를 초기화하는 와이퍼(Kamikaze)를 추가로 실행합니다. 소프트웨어 개발 및 배포(CI/CD) 파이프라인 전반에 연쇄적인 감염을 일으킬 수 있다는 점에서 매우 심각한 보안 위협으로 평가됩니다.