지금! 🚨 개발자라면 무조건 알아야하는 NPM 해킹
유튜브에 들어갔다가 추천영상에 띄어져있는 영상을 보게되었다.
제목이 혹하니까..
주요 내용은 다음과 같다.
node.js의 NPM(추가 패키지의 설치를 도와주는 기능)
을 통해서 해킹을 할수 있다는 내용
npm은 서버저나 깃허브 리포지토리에서 당겨오기때문에
서버 내용이 수정되면 본인이 사용하고 있는 서버에 자동반영된다.
그래서 대표적인 사건이
left-pad사건.
- 일련의 이유로 left padding을 넣는 Js를 NPM패키지에서 코드 작성자가 삭제하게 되었는데
인터넷 유명 서비스 등이 영향을 받았다는 사건.
이외 최근엔 유명 패키지들의 이름을 유사하게 만들어서 피싱을 하는 패키지명들이 늘어나고있다고한다.
아니면 패키지 배포자 레포지터리 계정권한을 획득한다거나 하면 문제등이 생길수 있는 것이다.
js의 경우 CDN이나 타 사이트의 것을 가져오는 경우가 있는데 그럴경우 조심해야겠다 라는 생각이 들게한 영상
댓글