04/05 보안 뉴스

SecurityNews·2026년 4월 5일

IT 뉴스 악성코드 정보보안 해킹

정보보안 뉴스

목록 보기

3/26

🔐 오늘의 보안 뉴스 | 2026-04-05

🌐 해외 보안 뉴스

1. 북한 UNC1069, Axios npm 공급망 공격 — 소셜 엔지니어링으로 MFA 우회

출처: BleepingComputer
날짜: 2026-04-04
링크: https://www.bleepingcomputer.com/news/security/axios-npm-hack-used-fake-teams-error-fix-to-hijack-maintainer-account/

Google Threat Intelligence Group이 귀속한 북한 해킹그룹 UNC1069가 수십억 주간 다운로드의 JavaScript HTTP 클라이언트 Axios를 공급망 공격의 수단으로 삼았다.

공격 방식은 코드 취약점이 아닌 정교한 소셜 엔지니어링이었다. 공격자들은 LinkedIn·Slack에서 실제 기업의 브랜딩·직원 프로필·워크스페이스 채널을 완벽하게 복제했다. 이후 영상통화 중 "Teams 업데이트" 가짜 프롬프트로 RAT 악성코드를 설치했고, 거부할 경우 curl 명령 실행으로 추가 침투를 시도했다.

MFA 우회는 감염된 기기의 인증 세션을 탈취하는 방식으로 이루어졌다. 재인증 없이 npm 자격증명을 획득한 공격자들은 악성 버전 1.14.1·0.30.4를 npm에 등록했다. plain-crypto-js 의존성에 삽입된 RAT는 macOS·Windows·Linux 크로스플랫폼으로 실행됐다. 두 버전은 약 3시간 후 제거됐다.

오픈소스 유지관리자 계정 단 하나의 탈취로 수십억 다운로드 패키지 전체가 오염될 수 있다는 점이 다시 한번 확인됐다. 하드웨어 키 기반 MFA 도입과 신뢰 기기 검증 프로토콜 강화가 필수다.

2. 디바이스 코드 피싱 2026년 37배 급증 — 11개 피싱 킷 등장

출처: BleepingComputer
날짜: 2026-04-04
링크: https://www.bleepingcomputer.com/news/security/device-code-phishing-attacks-surge-37x-as-new-kits-spread-online/

OAuth 2.0 기기 인증 흐름을 악용한 디바이스 코드 피싱 공격이 2026년 초 대비 37.5배 급증했다. Push Security 연구팀이 확인한 수치로, 3월 초 15배였던 수치가 한 달 만에 37.5배로 치솟았다.

공격 방식은 단순하다. 공격자가 먼저 서비스에 기기 인증 요청을 보내 코드를 받은 뒤, 피해자에게 다양한 구실로 이 코드를 전달한다. 피해자가 정상 로그인 페이지에 코드를 입력하면, 공격자는 해당 계정의 유효한 액세스 토큰과 갱신 토큰을 탈취하게 된다. MFA를 우회하며 계정을 완전히 장악하는 구조다.

현재 확인된 피싱 킷은 EvilTokens를 포함해 11종이다 — VENOM, SHAREFILE, CLURE, LINKID, AUTHOV, DOCUPOLL, FLOW_TOKEN, PAPRIKA, DCSTATUS, DOLCE. 이들은 실제 SaaS 서비스와 유사한 화면, 봇 탐지 우회, 클라우드 플랫폼 호스팅을 활용한다.

조건부 접근 정책으로 OAuth 기기 코드 흐름을 비필수 시 비활성화하고, 비정상적인 기기 인증 로그를 모니터링해야 한다.

3. 텔레헬스 기업 Hims & Hers, 고객지원 시스템 침해 — 이름·이메일·주소 유출

출처: TechCrunch
날짜: 2026-04-02 보고
링크: https://techcrunch.com/2026/04/02/telehealth-giant-hims-hers-says-its-customer-support-system-was-hacked/

체중감량·성건강 처방 텔레헬스 기업 Hims & Hers가 제3자 고객지원 플랫폼(Zendesk) 침해 사실을 공개했다.

공격자들은 2월 4~7일 사이 소셜 엔지니어링으로 직원 2명의 접근 권한을 탈취해 고객지원 티켓을 절취했다. 유출된 정보는 고객 이름, 이메일 주소, 전화번호, 실제 주소를 포함한다. 의료 기록은 침해되지 않았다고 회사는 밝혔으나, 지원 티켓에 처방 관련 민감 정보가 포함될 수 있다는 우려가 있다.

4월 2일자로 피해 고객 통보가 시작됐으며, 12개월 신용 모니터링 서비스를 제공한다. 소셜 엔지니어링을 통한 고객지원 플랫폼 침해 — Twilio, LastPass 사고와 동일한 패턴의 재현이다.

📊 오늘의 핵심 요약

구분	내용
🔴 긴급 패치	(해당 없음 — 신규 없음)
🟠 진행 중 공격	북한 UNC1069 Axios npm 공급망 공격, 디바이스 코드 피싱 37배 급증 (11개 피싱 킷)
💰 대형 사고	Hims & Hers 고객지원 시스템 침해 (이름·이메일·주소 유출)
🦠 악성코드	Axios plain-crypto-js RAT (macOS·Windows·Linux 크로스플랫폼)
🔵 연구/경고	OAuth 기기 코드 인증 흐름 피싱 급증 트렌드

📅 다음 업데이트: 2026-04-06
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, BleepingComputer, SecurityWeek, Krebs on Security

SecurityNews

정보보안 뉴스 알림이

이전 포스트

04/03 세계 보안 뉴스

다음 포스트