LinkedIn 채용 제안으로 위장한 GitHub 과제에서 npm prepare 스크립트 기반 backdoor 발견

한 Python 개발자가 LinkedIn을 통해 받은 crypto startup 채용 과제용 GitHub repo를 검토하던 중, 테스트 파일로 위장한 backdoor를 발견했습니다. 해당 코드는 npm의 prepare 단계에서 자동 실행되며, 외부 서버에서 내려받은 payload를 로컬 환경에서 실행하도록 설계돼 있었습니다.

개발자 채용 프로세스를 악용해 후보자의 개발 환경과 자격 증명을 노리는 공급망 공격이 더 정교해지고 있습니다. 특히 npm lifecycle script처럼 정상적인 개발 흐름에 섞여 실행되는 prepare script는 코드 리뷰나 과제 수행 전 격리 환경을 사용하는 관행의 필요성을 보여줍니다.