npm 생태계에서 공급망 공격(Supply Chain Attack)이란?

Q: npm 생태계에서 공급망 공격(Supply Chain Attack)이란?

악성 코드가 포함된 패키지를 npm에 배포하여 이를 설치한 프로젝트를 감염시키는 공격이다 공급망 공격은 유명 패키지와 유사한 이름(typosquatting), 기존 패키지에 악성 코드 삽입, 유지보수자 계정 탈취 등의 방법으로 npm 패키지를 통해 악성 코드를 배포합니다. npm audit, lockfile 고정, Dependabot 등으로 방어하며, 설치 전 패키지 검증이 중요합니다.

보통 MDN Web Docs

보기 및 정답

A 악성 코드가 포함된 패키지를 npm에 배포하여 이를 설치한 프로젝트를 감염시키는 공격이다

B npm 서버의 네트워크 인프라를 대상으로 DDoS 공격을 수행하여 패키지 배포를 방해하는 공격이다

C 패키지 다운로드 시 중간자 공격으로 전송 중인 패키지를 악성 코드가 포함된 버전으로 교체하는 공격이다

D npm 패키지의 오픈소스 라이선스를 상업용으로 무단 변경하여 법적 분쟁을 유발하는 공격이다

해설

공급망 공격은 유명 패키지와 유사한 이름(typosquatting), 기존 패키지에 악성 코드 삽입, 유지보수자 계정 탈취 등의 방법으로 npm 패키지를 통해 악성 코드를 배포합니다. npm audit, lockfile 고정, Dependabot 등으로 방어하며, 설치 전 패키지 검증이 중요합니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

npm 생태계에서 공급망 공격(Supply Chain Attack)이란?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩