개발 일상 | 백엔드 김승원의 실무 노트

들어가며2026년 3월 31일, JavaScript 생태계에서 가장 많이 사용되는 HTTP 클라이언트 라이브러리 axios가 해킹당했다. 주간 다운로드 수 약 1억 건에 달하는 이 패키지의 메인테이너 계정이 탈취되어, 원격 접근 트로이(RAT)가 삽입된 악성 버전이 npm에 배포된 것이다.더 충격적인 것은 이 공격의 배후가 북한 연계 해킹 그룹 UNC1069로 지목되었다는 점이다. 2024년의 xz-utils 백도어 사건에 이어, 오픈소스 공급망 보안에 대한 경각심을 다시 한번 일깨운 초대형 보안 사고를 기술적으로 분석한다.1. 사건 타임라인시간 (UTC)사건3월 30일 ~메인테이너 jasonsaayman 계정 탈취 (이메일이 ProtonMail로 변경됨)3월 31일 00:21axios@1.14.1 배포..

들어가며2026년 3월 31일, AI 업계를 뒤흔든 초대형 사고가 터졌다. Anthropic의 AI 코딩 도구 Claude Code의 전체 소스코드 약 51만 줄이 npm 패키지를 통해 통째로 유출된 것이다.단순한 코드 유출을 넘어, 그 안에 숨겨져 있던 미공개 기능들이 속속 발견되면서 개발자 커뮤니티는 그야말로 난리가 났다. 백그라운드에서 자율적으로 동작하는 데몬 모드 "KAIROS", 오픈소스 기여 흔적을 은폐하는 "Undercover Mode", 18종의 가상 펫을 키우는 "Buddy System"까지.이 글에서는 사건의 전모와 유출된 핵심 기능들, 그리고 개발자로서 이 사건에서 배울 점을 정리한다.1. 유출 경위와 타임라인어떻게 유출되었나?근본 원인은 허무할 정도로 단순했다. npm에 배포된 @a..