https://4d4cat.com/tags/axios/Recent content in Axios on YuuuuuuYuHugo -- 0.147.2ko-KRFri, 01 May 2026 13:40:58 +0900https://4d4cat.com/posts/2026/axios-compromised-on-npm/Sat, 11 Apr 2026 16:18:00 +0900https://4d4cat.com/posts/2026/axios-compromised-on-npm/<h2 id="개요">개요</h2> <p>2026년 3월 30일(현지 시간), 주당 1억 회 이상의 다운로드를 기록하는 가장 인기 있는 HTTP 클라이언트 라이브러리인 Axios의 NPM 계정이 해킹되었다. 요약하면, Axios 관리자 계정을 탈취하고 <code>plain-crypto-js</code>라는 가짜 의존성이 추가된 <code>axios@1.14.1</code> 및 <code>axios@0.30.4</code> 버전을 배포했다.</p> <p>자세한 건 아래 사이트에 정리되어 있기 때문에 나는 개발자로서 어떻게 대응해야 할지를 중점적으로 작성하려고 한다.</p> <h3 id="타임라인">타임라인</h3> <p><a href="https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan">StepSecurity</a> <br> <a href="https://www.skshieldus.com/security-insights/trends/axios-supply-chain-attack-insight-report">SK쉴더스</a></p> <h2 id="대응-전략">대응 전략</h2> <h3 id="1-npm-install-시---ignore-scripts-옵션을-사용">1. npm install 시 <code>--ignore-scripts</code> 옵션을 사용</h3> <p>이번 사태에 핵심 원인이기도 했던 자동 스크립트 실행을 막는 옵션이다. 프로젝트에 따라 사용할 때도 있겠지만, 무지성 업그레이드하는 것도 지양해야 한다.</p>