손상된 GitHub Actions 워크플로를 통한 악성 npm 패키지 게시
2025-09-18
악성 GitHub Actions 워크플로가 공유 저장소에서 광범위한 게시 권한을 가진 npm 토큰을 유출하여 인기 있는 @ctrl/tinycolor를 포함한 20개 패키지의 악성 버전을 게시했습니다. 저자의 GitHub 계정과 저장소는 직접적으로 손상되지 않았지만, 공유 저장소에 대한 관리자 권한을 가진 공동 작업자가 공격을 성공적으로 수행할 수 있도록 했습니다. 공격자는 npm 토큰이 포함된 GitHub Actions 시크릿을 악용했습니다. GitHub 및 npm 보안 팀은 신속하게 대응하여 악성 패키지 게시를 중단했습니다. 저자는 캐시를 지우기 위해 정상 버전을 출시했습니다. 이 사건은 공유 저장소와 정적 토큰의 위험을 강조하며, 향상된 보안을 위해 npm의 신뢰할 수 있는 게시(OIDC)로 전환을 촉진하고 있습니다.
더 보기
(sigh.dev)
개발