AI검증

오픈소스 라이브러리 액시오스 해킹, 악성코드 유포로 개발자 주의 필요

인기 자바스크립트 라이브러리 액시오스의 관리자 계정이 탈취되어 악성코드가 포함된 버전이 배포되었습니다. 이번 공격은 개발 환경의 공급망 보안 취약성을 드러냈으며, 관련 사용자는 시스템 점검이 필요합니다.

2026년 3월 31일

주장해커가 오픈소스 프로젝트 관리자 계정을 탈취하여 대규모 공급망 공격을 감행하고 있습니다. 이러한 행위는 소프트웨어 생태계의 신뢰를 훼손하며 사용자에게 직접적인 보안 위협을 가합니다.

팩트자바스크립트 라이브러리 액시오스가 해커에 의해 수정되어 악성코드가 포함된 버전으로 배포되었습니다. 액시오스는 매주 수천만 번 다운로드되는 소프트웨어로, 인터넷 연결을 위해 많은 개발자가 사용합니다.

팩트이번 공격은 특정 월요일부터 화요일 사이 약 3시간 동안 지속되었습니다. 보안 업체 스텝시큐리티가 해당 공격을 분석하고 탐지하여 추가 피해를 차단했습니다.

팩트해커는 액시오스 프로젝트의 주요 개발자 계정을 탈취하여 업데이트 권한을 확보했습니다. 이후 개발자의 이메일 주소를 자신의 것으로 변경하여 계정 복구를 어렵게 만들었습니다.

팩트해커가 삽입한 악성코드는 원격 접속 트로이 목마 형태입니다. 이는 해커가 피해자의 컴퓨터를 완전히 원격 제어할 수 있게 만드는 위험한 도구입니다.

팩트해당 악성코드는 윈도우, 맥OS, 리눅스 사용자 모두를 대상으로 설계되었습니다. 해커는 이를 정상적인 업데이트인 것처럼 위장하여 배포했습니다.

교차검증보안 연구원들에 따르면, 악성코드는 설치 후 자동으로 삭제되도록 설계되었습니다. 이는 안티바이러스 엔진이나 조사관의 추적을 피하기 위한 은폐 전략입니다.

교차검증현재까지 악성 버전의 액시오스를 다운로드한 정확한 인원수는 확인되지 않았습니다. 보안 업체 아이키도는 해당 기간에 코드를 다운로드한 모든 사용자가 시스템 침해를 가정하고 대응해야 한다고 경고합니다.

주장최근 몇 년간 3CX, 솔라윈즈, 로그포제이 등 대형 소프트웨어 공급망을 노린 공격이 급증합니다. 이는 특정 기업뿐만 아니라 오픈소스 도구 전체의 보안 체계가 취약하다는 점을 시사합니다.

출처https://techcrunch.com/2026/03/31/hacker-hijacks-axios-open-source-project-used-by-millions-to-push-malware

← 목록으로 돌아가기

본 기사는 전문가의 분석과 공개 자료를 기반으로 AI가 작성 후 다른 AI의 검증을 거쳐 작성됐으며 정보의 정확성과 완전성을 보장하지 않습니다. 기사 내용은 특정 투자·의사결정의 권유가 아니며, Wittgenhaus는 이를 근거로 한 행위의 결과에 책임을 지지 않습니다.

스팟

WIRE

글로벌 인텔리전스

전체보기 →

TELEGRAM · Clash Report

Trump on India's Modi: Modi is very good. He stays out of wars, which is smart. He's 1.5 billion people. India's actually the biggest. Modi's a great leader, and we do a lot of business with them, but now we do fair business. They used to really rip us off. I don't blame them for that. We had stupid politicians that allowed that to happen. But now we do a lot of business. They're not that happy about it. They used to do a lot better. But Modi's great. Source: Axios

2시간 전

TELEGRAM · Clash Report

Trump to Axios: The Iranians, very smart people. They're sort of primitive genius, but they're smart. They would've blown up Israel. If it weren't for me, Israel would not exist today.

2시간 전

TELEGRAM · Clash Report

Trump thanks China's Xi again: Xi didn't get involved with the whole thing with Iran. He could have gotten involved. He could have sent a nice oil ship surrounded by 12 destroyers and see if he could blast his way through the blockade. But President Xi, I asked him, I said, "I'd really appreciate you not getting involved." And he was great. He didn't get involved. And I think if somebody else would've said that, I don't think somebody else would've even aske

2시간 전

본 페이지의 정보는 공개 채널을 통해 자동 수집되는 정보로 정보의 정확성·완전성을 보장하지 않으며, Wittgenhaus의 공식 입장이 아닙니다. 이를 근거로 한 판단과 행위의 결과에 Wittgenhaus는 책임을 지지 않습니다.

버블 지표

상세보기 →

많이 본 콘텐츠

의료용 거대언어모델의 데이터 암기 현상과 환자 정보 유출 위험

AI15시간 전

뇌-컴퓨터 인터페이스(BCI) 임상 시험의 급격한 증가와 기술적 도약

AI10시간 전

구글, 생성형 AI 스팸 탐지 기술 S-CTS 도입

AI5시간 전

AI 연산 효율성 확보를 위한 자원 최적화 전략

AI15시간 전

릴라이언스 인더스트리, 인도 AI 시장 주도권 확보 전략

AI1시간 전

릴리즈 & 논문

전체보기 →

RELEASES

LangChainlangchain==1.3.10

langchain==1.3.10

langchain 1.3.10 릴리즈에서는 cryptography, aiohttp, pyjwt 라이브러리 버전이 업데이트되었습니다. 또한, 요약 형식 변경 및 특정 스냅샷에 대한 프로바이더 전략 감지 기능이 수정되었습니다. README 설치 및 리소스 문서도 갱신되었습니다.

1일 전

LangChainlangchain-core==1.4.8

langchain-core==1.4.8

이번 릴리즈에서는 Python 3.10 미만 버전에 대한 코드가 제거되었으며, `BaseTool.tool_call_schema` 및 `model_json_schema`에 대한 성능 개선이 이루어졌습니다. 또한, v3 스트리밍 이벤트에서 사용 토큰 세부 정보가 보존되고, 명시적 역직렬화 허용 목록에 대한 테스트가 업데이트되었습니다.

1일 전

Anthropicv0.111.0

v0.111.0

이번 릴리즈에서는 refusal-fallback 미들웨어 요청에 fallback-refusal-middleware 태그를 추가하는 기능이 포함되었습니다. 자세한 변경 사항은 전체 변경 로그를 참조하시기 바랍니다.

1일 전

Anthropicv0.110.0

v0.110.0

이번 릴리즈에서는 새로운 code_execution_20260120 도구에 대한 지원이 추가되었습니다. 또한, 헤더 병합 시 x-stainless-helper가 덮어쓰이는 대신 추가되도록 수정되었으며, 스트림 이벤트 유형이 보존되도록 개선되었습니다.

1일 전

OpenAIv2.43.0

v2.43.0

OpenAI Python 라이브러리가 v2.43.0 버전으로 업데이트되었습니다. 이번 릴리즈에서는 API 관련 변경 사항으로 OpenAPI 사양 또는 Stainless 설정을 업데이트했습니다.