axios@1.14.1 및 axios@0.30.4이 해킹당했습니다
source https://github.com/axios/axios/issues/10604
axios@1.14.1과axios@0.30.4가 2026년 3월 31일 npm에 악성 버전으로 배포됐고, axios 메인테이너 계정 탈취가 원인악성 코드는
axios본문에 직접 들어간 게 아니라,plain-crypto-js@4.2.1라는 가짜 의존성을 끼워 넣는 방식이 의존성은
postinstall스크립트로 macOS, Windows, Linux에서 동작하는 RAT 드로퍼를 실행하고, C2 서버와 통신한 뒤 흔적까지 지우도록 설계됨공격자는 악성 패키지를 미리 준비했고,
1.x와0.x릴리스를 짧은 간격으로 동시에 노려 탐지와 대응을 어렵게 만들었음특히 설치 후
package.json을 정상처럼 바꿔치기하고 스크립트 파일도 삭제해서, 나중에node_modules만 봐서는 감염 여부 를 놓치기 쉽다는 점이 핵심글의 경고는 분명합니다.
axios@1.14.1또는axios@0.30.4를 설치했다면 시스템이 이미 침해됐다고 보고 대응해야 함확인 포인트는 해당
axios버전 설치 여부,node_modules/plain-crypto-js존재 여부, OS별 RAT 흔적 파일, 그리고 CI/CD에서 해당 버전을 설치한 이력axios는 즉시 안전한 버전으로 되돌리고plain-crypto-js는 제거해야 함.감염 흔적이 있다면 부분 수습보다 시스템 재구축으로 대응하는 게 맞고, 노출 가능성이 있는 시크릿과 토큰도 전부 재발급해야 함.
추가로 CI/CD에서는
ignore-scripts사용, 네트워크 차단, 패키지 쿨다운과 이상 패키지 탐지 같은 공급망 보안 통제를 상시 적용해야함
안전한 버전으로 패치
1.x사용자는axios@1.14.00.x사용자는axios@0.30.3
