--- id: P-REINFORCE-AUTO-2BF446 category: "10_Wiki/πŸ’‘ Topics/AI" confidence_score: 0.90 tags: [auto-reinforced] last_reinforced: 2026-04-20 github_commit: "[P-Reinforce] Continuous Worker - 곡급망 곡격 (Supply Chain Attack)" --- # [[공급ᄆᅑᆼ 공격 (Supply Chain Attack)|곡급망 곡격 (Supply Chain Attack)]] ## πŸ“Œ ν•œ 쀄 톡찰 (The Karpathy Summary) > 곡급망 곡격(Supply Chain Attack)은 μ˜€ν”ˆμ†ŒμŠ€ νŒŒμ΄ν”„λΌμΈμ΄ μƒν˜Έ μ‹ λ’°λ₯Ό λ°”νƒ•μœΌλ‘œ μš΄μ˜λœλ‹€λŠ” 점을 μ•…μš©ν•˜μ—¬, 널리 μ‚¬μš©λ˜λŠ” 합법적인 νŒ¨ν‚€μ§€λ‚˜ 개발 λ„κ΅¬μ˜ μœ μ§€λ³΄μˆ˜μž 계정을 νƒˆμ·¨ν•΄ μ•…μ„± μ½”λ“œλ₯Ό λ‹€μš΄μŠ€νŠΈλ¦Ό ν™˜κ²½μ— μœ ν¬ν•˜λŠ” 곡격 λ°©μ‹μž…λ‹ˆλ‹€ [1]. ν•œ λͺ…μ˜ μœ μ§€λ³΄μˆ˜μž κ³„μ •μ΄λ‚˜ 단일 νŒ¨ν‚€μ§€κ°€ μ†μƒλ˜λŠ” κ²ƒλ§ŒμœΌλ‘œλ„ 수천만 건의 μ„€μΉ˜λ‘œ ν”Όν•΄κ°€ νŒŒκΈ‰λ  수 μžˆμ–΄ μ†Œν”„νŠΈμ›¨μ–΄ μƒνƒœκ³„ μ „λ°˜μ— λŒ€κ·œλͺ¨ μœ„ν—˜μ„ μ΄ˆλž˜ν•©λ‹ˆλ‹€ [1, 2]. μ½”λ“œ ν’ˆμ§ˆκ³Ό μ•ˆμ „μ„ 보μž₯ν•˜κΈ° μœ„ν•΄ μ‚¬μš©ν•˜λŠ” 도ꡬ μžμ²΄κ°€ 개발자λ₯Ό κ³΅κ²©ν•˜λŠ” 무기둜 λŒλ³€ν•  수 μžˆλ‹€λŠ” μ μ—μ„œ ν˜„λŒ€ μ†Œν”„νŠΈμ›¨μ–΄ 개발의 μ€‘λŒ€ν•œ μœ„ν˜‘μœΌλ‘œ κΌ½νž™λ‹ˆλ‹€ [2]. ## πŸ“– κ΅¬μ‘°ν™”λœ 지식 (Synthesized Content) * **곡급망 곡격의 원리와 μœ„ν—˜μ„±:** λŒ€λΆ€λΆ„μ˜ μ†Œν”„νŠΈμ›¨μ–΄ ν”„λ‘œμ νŠΈλŠ” μˆ˜λ§Žμ€ μ„œλ“œνŒŒν‹° μ˜€ν”ˆμ†ŒμŠ€ νŒ¨ν‚€μ§€μ™€ μ˜μ‘΄μ„±(Dependencies)을 λ°”νƒ•μœΌλ‘œ κ΅¬μΆ•λ©λ‹ˆλ‹€. κ³΅κ²©μžλŠ” μ΄λŸ¬ν•œ μ†Œν”„νŠΈμ›¨μ–΄ 곡급망을 노리며, μœ μ§€λ³΄μˆ˜μžμ˜ κΆŒν•œ(예: npm 인증 토큰)을 ν”Όμ‹±κ³Ό 같은 κΈ°λ²•μœΌλ‘œ νƒˆμ·¨ν•©λ‹ˆλ‹€ [3, 4]. 이후 μ†ŒμŠ€ μ½”λ“œ μ €μž₯μ†Œ(GitHub λ“±)μ—λŠ” μ–΄λ– ν•œ 컀밋 흔적도 남기지 μ•Šκ³ , νŒ¨ν‚€μ§€ 관리 λ ˆμ§€μŠ€νŠΈλ¦¬μ— 직접 μ•…μ„± λ²„μ „μ˜ νŒ¨ν‚€μ§€λ₯Ό κ²Œμ‹œν•˜μ—¬ μ‹ λ’° 체인을 λ¬΄λ„ˆλœ¨λ¦½λ‹ˆλ‹€ [3]. * **μ‹€μ œ 곡격 사둀 (CVE-2025-54313):** 2025λ…„ 7μ›” 18일, μ£Όλ‹Ή 3,000만 회 이상 λ‹€μš΄λ‘œλ“œλ˜λŠ” 인기 npm 라이브러리인 `eslint-config-prettier`λ₯Ό λŒ€μƒμœΌλ‘œ λŒ€κ·œλͺ¨ 곡급망 곡격이 λ°œμƒν–ˆμŠ΅λ‹ˆλ‹€ [2, 4, 5]. κ³΅κ²©μžλŠ” `npmjs.com` 둜그인 νŽ˜μ΄μ§€λ₯Ό μœ„μž₯ν•œ ν”Όμ‹± μ΄λ©”μΌλ‘œ λ©”μΈν…Œμ΄λ„ˆλ₯Ό 속여 κΆŒν•œ 토큰을 νƒˆμ·¨ν•œ ν›„, 4개 버전(8.10.1, 9.1.1, 10.1.6, 10.1.7)에 μ•…μ„± μ½”λ“œλ₯Ό 심어 λ°°ν¬ν–ˆμŠ΅λ‹ˆλ‹€ [3, 4, 6]. 이 외에도 `eslint-plugin-prettier`, `synckit` λ“± μ—¬λŸ¬ νŒ¨ν‚€μ§€κ°€ λ™μ‹œμ— ν”Όν•΄λ₯Ό μž…μ—ˆμŠ΅λ‹ˆλ‹€ [6]. * **μ•…μ„± νŽ˜μ΄λ‘œλ“œ μž‘λ™ 방식:** ν•΄λ‹Ή 곡격은 npm의 μ„€μΉ˜ ν›„ 슀크립트(post-install script) κΈ°λŠ₯을 μ•…μš©ν–ˆμŠ΅λ‹ˆλ‹€. νŒ¨ν‚€μ§€κ°€ μ„€μΉ˜λ˜λŠ” μ¦‰μ‹œ `install.js` 파일이 μ‹€ν–‰λ˜λ©°, λ‚΄λΆ€μ˜ `logDiskSpace()`λΌλŠ” μœ„μž₯된 ν•¨μˆ˜λ₯Ό 톡해 `node-gyp.dll`μ΄λΌλŠ” μ•…μ„± DLL νŒŒμΌμ„ λ“œλ‘­(drop)ν•˜κ³  Windows의 `rundll32` μ‹œμŠ€ν…œ ν”„λ‘œμ„ΈμŠ€λ‘œ 이λ₯Ό μ‹€ν–‰μ‹œμΌ°μŠ΅λ‹ˆλ‹€ [7]. 이λ₯Ό 톡해 κ³΅κ²©μžλŠ” Windowsλ₯Ό μ‚¬μš©ν•˜λŠ” 개발자의 둜컬 λ¨Έμ‹ μ΄λ‚˜ CI(지속적 톡합) ν˜ΈμŠ€νŠΈμ—μ„œ 원격 μ½”λ“œ μ‹€ν–‰(RCE) κΆŒν•œμ„ νšλ“ν•  수 μžˆμ—ˆμŠ΅λ‹ˆλ‹€ [2, 3]. (이 μ•…μ„± μ½”λ“œλŠ” Linuxλ‚˜ macOS ν™˜κ²½μ—μ„œλŠ” μ¦‰μ‹œ μ’…λ£Œλ˜λ„λ‘ μ„€κ³„λ˜μ—ˆμŠ΅λ‹ˆλ‹€ [7, 8]). * **λŒ€μ‘ 및 λ°©μ–΄ μ „λž΅:** "μœ μ§€λ³΄μˆ˜μžμ˜ λ³΄μ•ˆμ΄ 곧 곡급망 λ³΄μ•ˆ(Maintainer Security is Supply Chain Security)"μž…λ‹ˆλ‹€ [1]. ν–₯ν›„ μ΄λŸ¬ν•œ 곡격을 μ˜ˆλ°©ν•˜κΈ° μœ„ν•΄μ„œλŠ” 닀쀑 인증(MFA)의 κ°•μ œ 적용, κΆŒν•œμ΄ 쒁게 μ œν•œλœ 토큰(scoped tokens)의 μ‚¬μš©, 더 μ—„κ²©ν•œ npm κ²Œμ‹œ 정책이 ν•„μˆ˜μ μž…λ‹ˆλ‹€ [1]. ν”„λ‘œμ νŠΈ μ°¨μ›μ—μ„œλŠ” `package-lock.json`μ΄λ‚˜ `yarn.lock` νŒŒμΌμ„ κ²€ν† ν•΄ μΉ¨ν•΄λœ 버전을 λ°°μ œν•˜κ³  μ•Œλ €μ§„ μ•ˆμ „ν•œ λ²„μ „μœΌλ‘œ κ³ μ •(Pinning)ν•΄μ•Ό ν•˜λ©°, λΉŒλ“œ νŒŒμ΄ν”„λΌμΈμ˜ 비정상적인 ν™œλ™μ„ 즉각 감사해야 ν•©λ‹ˆλ‹€ [9]. λ˜ν•œ, μ„œλ“œνŒŒν‹° 라이브러리의 취약점을 νŒŒμ•…ν•˜κ³  곡급망 리슀크λ₯Ό μ™„ν™”ν•˜κΈ° μœ„ν•΄ SCA(Software Composition Analysis) 도ꡬλ₯Ό μ •κΈ°μ μœΌλ‘œ ν™œμš©ν•΄μ•Ό ν•©λ‹ˆλ‹€ [10, 11]. ## ⚠️ λͺ¨μˆœ 및 μ—…λ°μ΄νŠΈ (Contradictions & RL Update) - **κ³Όκ±° λ°μ΄ν„°μ™€μ˜ 좩돌:** μžλ™ν™” 엔진에 μ˜ν•΄ λ§€ν•‘λœ μ§€μ‹μœΌλ‘œ, μΆ”ν›„ μ •λ°€ 검증 ν•„μš”. - **μ •μ±… λ³€ν™”:** AI λΆ„μ•Όμ˜ μžλ™ μžμ‚°ν™” μˆ˜ν–‰. ## πŸ”— 지식 μ—°κ²° (Graph) - **Related Topics:** CVE-2025-54313, [[Software Composition Analysis (SCA)|Software Composition Analysis (SCA)]], [[eslint-config-prettier|eslint-config-prettier]] - **Projects/Contexts:** npm registry, Open Source Security - **Contradictions/Notes:** μ†ŒμŠ€μ— κ΄€λ ¨λœ λͺ¨μˆœμ μ€ λ°œκ²¬λ˜μ§€ μ•Šμ•˜μŠ΅λ‹ˆλ‹€. --- *Last updated: 2026-04-19* - Raw Source: 00_Raw/2026-04-20/곡급망 곡격 (Supply Chain Attack).md ---