숫자
2026년 3월 31일, 액시오스(Axios)가 공급망 공격에 악용되며 보안 사고가 발생했다. 이 공격은 코드 자체가 아닌 의존성 체인을 노린 방식으로 이뤄졌다. 문제의 핵심은 액시오스의 최신 버전인 1.14.1과 이전 버전인 0.30.4에 악성 의존성이 포함된 점이었다.
해당 버전에는 악성 패키지인 ‘플레인-크립토-제이에스’ 4.2.1이 삽입됐다. 공격자는 액시오스 유지관리자의 엔피엠 계정을 탈취하여 이 악성 패키지를 배포한 것으로 보인다. 이 악성 패키지는 postinstall 스크립트를 포함하고 있어, 설치 후 자동으로 악성 코드를 실행하도록 설계되어 있었다.
공격자는 맥OS, 윈도우, 리눅스 환경을 모두 대상으로 하는 원격 접근 트로이목마 드로퍼를 실행했다. 맥OS에서는 애플스크립트를 이용해 악성 실행 파일을 내려받고 실행했으며, 윈도우에서는 파워셸과 브이비스크립트를 이용한 공격이 수행됐다. 리눅스 환경에서는 파이썬 기반의 원격제어 악성코드가 다운로드돼 실행됐다.
이번 공격은 18시간 만에 정상 패키지 버전이 배포된 후 악성 코드가 포함된 버전이 등록되었고, 40시간 동안 두 개의 액시오스 버전이 동시에 공격에 악용되었다. 이러한 공격 방식은 전형적인 설치형 악성코드로 평가받고 있다.
현재 문제의 액시오스 버전과 악성 패키지는 엔피엠에서 삭제된 상태이다. 그러나 이번 사건은 오픈소스 의존도가 높은 Web3 및 소프트웨어 산업 전반에 공급망 보안의 중요성을 다시 부각시키는 계기로 평가된다. 페로스 아부카디예는 “전형적인 설치형 악성코드”라고 언급하며, 공급망 공격의 위험성을 강조했다.
또한, 한 보안 전문가는 “공급망 공격은 신뢰된 소프트웨어나 라이브러리를 통해 악성코드를 유포하는 공격 방식”이라고 설명하며, 단일 패키지의 침해가 광범위한 생태계로 확산될 수 있다는 점에서 개발 환경 전반의 보안 관리 체계 강화가 불가피하다고 덧붙였다.
이번 사건에 대한 첫 반응은 보안 전문가들 사이에서 경각심을 일으키고 있으며, 기업들은 공급망 보안 강화를 위한 조치를 검토하고 있는 상황이다. 이러한 공격이 다시 발생하지 않도록 하기 위해서는 보다 철저한 보안 관리가 필요할 것으로 보인다.
