DuckDB npm 패키지, 악성 코드 공격으로 위협받아
2025-09-09
DuckDB의 Node.js npm 패키지가 정교한 피싱 공격으로 해킹을 당했습니다. 4개의 패키지 악성 버전이 공개되었는데, 이는 암호화폐 거래를 방해하도록 설계된 코드를 포함하고 있었습니다. 다행히도 이러한 악성 버전은 DuckDB팀에 의해 식별되고 사용 중지되기 전에 다운로드되지 않은 것으로 보입니다. 팀은 악성 버전을 사용 중지하고 업데이트된 안전한 버전을 출시하여 신속하게 대응했습니다. 이 공격에는 관리자를 속여 2FA를 재설정하게 하고 공격자에게 악성 패키지를 게시할 수 있는 권한을 부여한 설득력 있는 가짜 npm 웹사이트가 포함되어 있었습니다. 이 사건은 경험이 많은 개발자라도 강력한 보안 관행이 중요함을 강조합니다.
개발