- Published on
npm 생태계의 공급망 공격은 우연한 사건이 아니라 설치 스크립트, 전이 의존성, 타이포스쿼팅이라는 구조에서 반복적으로 나온다. 2025년 Shai-Hulud 웜은 설치 스크립트로 스스로 번식하며 npm 토큰과 클라우드 키를 훔쳐 갔다. 최근 Hacker News에서 화제가 된 npm-scan은 이 문제를 로컬에서 정적·행위 분석으로 잡겠다고 표방하는 도구다. 이 글은 README를 근거로 npm-scan이 실제로 무엇을 검사하고 무엇을 검증할 수 없는지 가르고, 락파일과 설치 스크립트 차단, provenance, 최소 의존성처럼 정말 효과 있는 방어를 정리한다.