NPM 공식 레지스트리에 정상적인 메인테이너의 크리덴셜을 이용하여 악성 패키지를 배포한 이슈가 발생하여 안내 드립니다.

영향을 받는 패키지를 사용하는 경우 조치 방안에 따라 서비스 영향에 고려하여 최신 클린 버전으로 업데이트하고 기존 캐시 제거하는 것을 권고 드립니다.

■ 개요

공격자는 npmjs 메인테이너(qix, duckdb_admin)의 크리덴셜을 npm 2FA 인증을 가장한 phising을 통해 획득

이후 한국 시간 2025년 9월 8일 22:16 ~ 2025년 9월 9일 00:20 경 npmjs 공식 레지스트리에 다수의 악성 패키지 배포

■ 상세 내용

NPM에서 인기 패키지(chalk, debug 등)의 메인테이너 qic와 duckdb_admin 계정이, npm 보안 알림으로 위장한 Phishing 메일을 통해 계정 자격 증명이 탈취됨

공격자는 탈취한 계정을 사용하여 주요 인기 패키지의 신규 버전에 악성 스크립트를 삽입하고 배포함

공격자에 의해 오염된 패키지를 빌드하여 사용할 경우, 소비자가 Web3 지갑을 통해 결제·트랜잭션을 수행할 때 거래 목적지를 공격자 지갑으로 redirect 하거나 fetch, XMLHttpRequest에서 API를 통해 블록 체인 주소를 얻어올 때 공격자의 것으로 변경되도록 조작

■ 영향을 받는 버전

2025년 9월 8일 22:16 이후 프로젝트에서 아래 패키지를 사용하는 경우 서비스 영향도를 고려하여 최신 클린 버전으로 업데이트 또는 기존 캐시 제거하시기 바랍니다.

영향을 받는 패키지 및 버전

debug@4.4.2

chalk@5.6.1

supports-hyperlinks@4.1.1

chalk-template@1.1.1

slice-ansi@7.1.1

wrap-ansi@9.0.1

has-ansi@6.0.1

strip-ansi@7.1.1

ansi-styles@6.2.2

supports-color@10.2.1

ansi-regex@6.2.1

color-convert@3.1.1

color-name@2.0.1

color-string@2.1.1

is-arrayish@0.3.3

error-ex@1.3.3

simple-swizzle@0.2.3

backslash@0.2.1

proto-tinker-wc@1.8.7

@coveops/abi@2.0.1

@duckdb/duckdb-wasm@1.29.2

@duckdb/node-api@1.3.3

@duckdb/node-bindings@1.3.3

duckdb@1.3.3

prebid@10.9.1

prebid@10.9.2

prebid-universal-creative@1.17.3

■ 조치 방안

package-lock.json 또는 yarn.lock 파일에서 설치된 패키지 버전 확인

해당 기간 동안 배포된 영향받는 버전의 패키지가 존재할 경우, 기존 캐시를 삭제 후 최신 클린 버전으로 교체하여 재빌드/재배포 수행

CI/CD 환경을 사용하는 경우, 빌드 캐시 및 내부 npm 저장소 등에도 영향을 받는 패키지가 남아있지 않은지 추가 확인 필요

[참고사이트]

https://thehackernews.com/2025/09/20-popular-npm-packages-with-2-billion.html

https://www.upwind.io/feed/npm-supply-chain-attack-massive-compromise-of-debug-chalk-and-16-other-packages

관련 문의는 "문의하기" 또는 1644-2781으로 연락 바랍니다.

더욱 편리한 서비스 제공을 위하여 항상 노력하겠습니다.

감사합니다.

​

네뷸라엑스 클라우드팀 드림.