Hacker News 보안/프라이버시
A backdoor in a LinkedIn job offer
2026년 6월 15일 오후 08:00 1600 upvotes 303 comments
Read Original Backdoor Social Engineering npm Cybersecurity
📰 Article Summary
한 암호화폐 스타트업 리크루터로 위장한 공격자가 코드 리뷰를 명목으로 악성 GitHub 저장소를 전달했습니다. 공격자는 `app/test/index.js` 파일 내에 테스트 코드로 위장한 백도어를 심어두었으며, URL 조각들을 조합해 특정 도메인(`https://rest-icon-handler.store/icons/77`)으로 연결되도록 설계했습니다. 특히 `package.json`의 `prepare` 스크립트를 활용해 `npm install` 명령어를 실행하는 것만으로도 백도어가 자동으로 실행되도록 구성한 것이 특징입니다.
💬 Discussion Summary
사이버 범죄에 대한 신고 체계가 미비하여 실질적인 도움을 받기 어렵다는 사회적 인프라 부족에 대한 비판이 제기되었습니다. 또한 이러한 정교한 공격 방식이 실제 범죄로 이어지는 상황에 대한 우려가 논의되었습니다.
🔑 Key Points
- • npm의 `prepare` 스크립트를 이용해 의존성 설치 단계에서 악성 코드가 자동 실행되도록 설계되었습니다.
- • 테스트 스위트와 주석을 활용해 악성 페이로드를 숨기는 사회 공학적 기법이 사용되었습니다.
- • 채용 프로세스를 악용한 공급망 공격의 위험성을 경고하며 보안 검증의 중요성을 시사합니다.