Axios 백도어를 통한 NPM 침해: AI 코딩 에이전트에 미치는 영향

NPM 보안 사고: Axios 패키지 해킹

2026년 3월 31일, npm이 일시적으로 해킹당하는 중대한 보안 침해 사고가 발생했습니다. 북한과 연관된 위협 행위자가 Axios 관리자의 자격 증명을 탈취하고 두 가지 악성 패키지 버전을 배포했습니다.

공격 상세

• 해킹된 버전: Axios 1.14.1 및 0.30.4
• 공격 시간대: 3시간
• 안전한 버전: 1.14.0 및 0.30.3
• 공격 경로: 공격자가 악성 종속성을 주입한 백도어 버전을 배포
• 악성 코드 동작: 종속성이 설치 후 훅을 실행하여 플랫폼별 RAT(원격 접속 트로이 목마)를 다운로드
• RAT 기능: C2 비콘 설정, 자격 증명 수집, 설치 후 자가 삭제

영향 및 범위

Axios는 월간 4억 건의 다운로드와 174,000개의 직접 종속성을 보유하여 광범위한 피해를 야기했습니다. 이 공격은 Claude Code, Cursor, Copilot을 포함한 AI 코딩 에이전트에 특히 치명적이었습니다. 이러한 도구들은 사람의 검토 없이 자동으로 npm install을 실행하며, 악성 코드는 명령이 반환되기 전에 프로세스에서 분리되어 출력 모니터링에 완전히 감지되지 않았습니다.

패키지가 npm에서 제거되기 전 몇 시간 만에 수천 대의 개발자 머신이 감염되었습니다. 공격 시간대 동안 npm을 통해 패키지를 설치했다면 전체 머신이 해킹되었다고 간주해야 합니다.

즉시 조치

• 2026년 3월 31일 3시간 동안 패키지를 설치했는지 확인
• Axios 버전 1.14.1 또는 0.30.4가 아닌 1.14.0 또는 0.30.3을 사용 중인지 확인
• 해킹된 패키지를 설치한 머신은 완전히 침해되었다고 가정
• npm 설치를 자동화하는 AI 코딩 에이전트 환경의 보안 모니터링 검토