목록 보기
Nx Console로 겪은 뜻밖의 공급망 공격 경험기
기타

Nx Console로 겪은 뜻밖의 공급망 공격 경험기

우아한 형제들
우아한 형제들
2025년 9월 30일

두줄요약

Nx Console 확장 프로그램의 자동 실행이 악성 Nx 패키지 실행으로 이어진 공급망 공격 경험을 정리했습니다. 원인 추적 과정과 이후 토큰 최소화, 확장 프로그램 정리 같은 대응도 공유했습니다.

핵심 내용

  • Nx Console 확장 프로그램의 자동 활성화 과정에서 npx -y nx@latest --version이 실행되며 악성 Nx 패키지를 내려받아 공급망 공격에 노출된 경험
  • 직접 설치한 Nx 버전과 글로벌 캐시에는 이상이 없었고, VS Code 계열 에디터의 확장 프로그램 로그와 저장소 코드를 추적해 원인을 확인
  • 악성 패키지 실행으로 환경변수, GitHub 토큰, 시스템 정보가 수집될 수 있었고, 이후 확장 프로그램 측에서는 시작 시 버전 체크 제거와 provenance 검증을 적용

적용해볼 점

  • 확장 프로그램의 자동 실행과 업데이트 동작을 점검하고 불필요한 확장 프로그램 정리
  • 토큰 권한 최소화와 정기 교체, 환경변수에 민감 정보 최소화
  • 공급망 공격 가능성을 전제로 로그와 릴리즈 노트, 보안 이슈를 함께 확인

댓글 0

댓글을 작성하려면 로그인이 필요합니다.

댓글을 불러오는 중...