[ Datadog ] Datadog 오픈소스 패키지에 영향을 미치는 axios npm 패키지의 악성 버전 발견 안내

수정 날짜: 수, 4월 1, 2026 시간: 9:55 AM

Datadog은 최근 공개된 axios npm 패키지의 악성 버전(1.14.1 및 0.30.4) 유포 사건과 관련하여, Datadog 라이브러리에 미치는 영향을 조사하고 있습니다. 해당 기간 내에 특정 Datadog 오픈소스 패키지를 설치하거나 사용한 경우, 환경 내에 악성 코드가 설치되었을 가능성이 있으니 즉시 확인이 필요합니다.

해당 사건에 대한 자세한 내용은 Datadog Security Labs - Compromised axios npm package delivers cross-platform RAT 을 참고하시기 바랍니다.

1. 사건 개요

발생 시간: 2026년 3월 30일 23:59 ~ 3월 31일 03:25 (UTC 기준)
사건 내용: axios npm 패키지 소유자의 계정이 탈취되어, 악성 의존성 패키지(plain-crypto-js@4.2.1)가 포함된 v1.14.1 및 v0.30.4 버전이 배포되었습니다.
위험 요소: 해당 버전 설치 시 Linux, macOS, Windows 환경에서 악성코드를 다운로드하는 포스트 설치 스크립트가 실행됩니다.

2. 악성코드 주요 행위 (C2 서버: sfrclak[.]com:8000)

sfrclak[.]com:8000 에 있는 command & control (C2) server 에 요청을 보냅니다.
피해 기기의 파일 및 기본 정보 수집 및 전송
공격자의 명령에 따라 임의의 셸(shell) 명령어 실행
공격자가 제어하는 바이너리 파일 다운로드 및 실행
디렉토리 목록 열람 및 악성코드 자체 삭제(Kill) 기능

3. 영향받는 Datadog 제품 및 라이브러리

다음 패키지들은 내부적으로 axios를 의존성으로 포함하고 있어 영향을 받을 수 있습니다.

datadog-ci: CI/CD 및 코드 보안용 npm 패키지
serverless-plugin-datadog: Serverless용 패키지 (datadog-ci를 설치함)
junit-upload-github-action: Test Optimization용 GitHub Action (datadog-ci를 사용함)

참고: 현재까지 Datadog의 내부 생산 시스템이나 고객 데이터에 피해가 발생했다는 징후는 발견되지 않았습니다.

4. 감염 여부 확인 방법

⚠️ 조사가 필요한 설치 방식 (영향 가능성 있음)

npx @datadog/datadog-ci 명령어를 직접 실행한 경우
npm install -g 또는 yarn global add를 통해 전역 설치한 경우
해당 기간 중 프로젝트 내에서 yarn install 또는 npm install을 수행했으나, axios 버전이 특정 버전으로 고정(pin)되어 있지 않은 경우
GitHub Actions에서 DataDog/junit-upload-github-action을 사용한 경우

✅ 안전한 설치 방식 (영향 없음)

GitHub Releases에서 직접 standalone 바이너리를 다운로드하여 설치한 경우 (npm을 거치지 않음)
datadog-ci 저장소를 직접 클론하여 내부의 yarn.lock을 기반으로 설치한 경우 (기존에 1.13.5 버전으로 고정되어 있었음)

✅ Datadog 내에서 관련된 내용 확인 방법

인벤토리 점검: 먼저 Code Security 쿼리로 어떤 서비스가 위험한 axios 버전을 사용 중인지 리스트를 확보하십시오.
```
library_name:axios status:Open library_version:(1.14.1 OR 0.30.4)
```
로그 분석: 리스트에 오른 시스템들이 실제로 sfrclak.com이나 특정 IP로 데이터를 보낸 적이 있는지 로그를 대조하십시오.
```
 @dns.question.name:sfrclak.com
 @network.destination.ip:142.11.206.73 @network.destination.port:8000
```
파일 제거: 의심스러운 파일 경로(wt.exe, system.bat 등)가 발견되면 해당 워크로드를 즉시 격리하고 아티팩트를 삭제하십시오.
```
@file.path:(*com.apple.act.mond OR */wt.exe OR */system.bat OR */ld.py)
@process.args:*sfrclak*
```

5. 침해 지표 (IoC) 및 조치 사항

침해 지표

대상 버전: axios 0.30.4, 1.14.1
악성 패키지: plain-crypto-js-4.2.1.tgz
C2 도메인: sfrclak[.]com:8000
악성코드 해시: 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a

권장 조치

환경 내에서 위 악성 axios 버전을 즉시 삭제하십시오.
해당 기간 내 설치가 이루어졌다면, 시스템 내에 승인되지 않은 활동이나 의심스러운 프로세스가 있는지 철저히 검토하십시오.
package-lock.json 또는 yarn.lock 파일에서 axios 버전을 확인하고, 안전한 버전(v1.13.5 이하 또는 문제 해결 버전)으로 업데이트하십시오.

[ Datadog 안내 원문 ]

Support User (your Datadog Zendesk account)

Mar 31, 2026, 18:14 EDT

We are aware of the recently disclosed malicious axios npm packages (including versions 1.14.1 and 0.30.4), and are actively investigating Datadog’s exposure. If you use the following Datadog open-source libraries, your environment may have installed an affected version of an axios npm package:

the datadog-ci npm package for the CI/CD Datadog products, or Code Security
the serverless-datadog-plugin npm package for Datadog Serverless
the junit-upload-github-action GitHub action for Datadog Test Optimization

What Happened?

The owner of the axios npm package was compromised, and between 2026-03-30 23:59 UTC and 2026-03-31 03:25 UTC, a threat actor placed a malicious dependency, plain-crypto-js@4.2.1, into versions 1.14.1 and 0.30.4 and subsequently published them. This malicious package contained a post-installation script for downloading malware onto victim machines who run Linux, macOS or Windows.

Our security team downloaded one of the pieces of malware (hash of 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a), and found that:

It sends requests to a command & control (C2) server on sfrclak[.]com:8000
Has 60 second checkins that contain instructions to:
provide information on files on victim machines
provide base information of the victim machine
a kill command for the the malware from the C2
a command to download and execute attacker controlled binaries
a command to run arbitrary shell commands
a command to enumerate a victim directory

For full details of the campaign, please refer to our Security Labs post.

Was Datadog affected?

The following Datadog open source packages include axios:

https://github.com/DataDog/datadog-ci npm package https://github.com/DataDog/serverless-plugin-datadog npm package that installs datadog-ci
https://github.com/DataDog/junit-upload-github-action GitHub action that installs datadog-ci

We’re currently investigating the campaign’s potential impact on our internal systems. The investigation is still ongoing and at this time we have no indication of any effect on our production systems or the customer data.

How do I know if I installed the malicious axios versions from Datadog’s 3 open-source packages?

Customers who use any of datadog-ci, serverless-plugin-datadog, or junit-upload-github-action may have installed a malicious version of axios depending on your installation method. Both serverless-plugin-datadog and junit-upload-github-action are affected because they depend on datadog/datadog-ci, which in turn depends on axios. The installation methods and impact described below apply to all three packages via this shared dependency chain.

Potentially impacted installation methods which may have resolved axios 1.14.1:

npx @datadog/datadog-ci
npm install -g @datadog/datadog-ci
yarn install -g @datadog/datadog-ci or yarn global add @datadog/datadog-ci
yarn install within a project that depends on @datadog/datadog-ci, if that project does not independently pin axios. Yarn.lock is only respected at the top-level project, so a transitive axios constraint from datadog-ci does not propagate
uses: DataDog/junit-upload-github-action in GitHub Actions. This action runs npx @datadog/datadog-ci under the hood and does not use the pinned lockfile
Any other project that lists @datadog/datadog-ci or serverless-plugin-datadog as a dependency and was installed during the affected window

Not impacted installation methods:

Installing the datadog-ci standalone binary directly from GitHub Releases. This does not go through npm and does not pull axios
yarn install run from within a clone of the datadog-ci repository itself.This respects the committed yarn.lock, which had resolved and pinned axios to 1.13.5 prior to the compromise window
axios version 0.30.4 was not part of any specific installation methods of datadog-ci, serverless-plugin-datadog or junit-upload-github-action
This list is not inclusive of specific installation methods within unique customer environments, so we recommend investigation for any other installation methods that may have installed axios 0.30.4 or 1.14.1

Indicators of Compromise

axios version 0.30.4

axios version 1.14.1

plain-crypto-js-4.2.1.tgz 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668 malware hash 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a

c2 domain sfrclak[.]com:8000

If you find that you installed these packages, we recommend taking the following steps:

Remove them from your environments
Review your environment for unauthorized activity

Datadog will follow-up with additional communications as the investigation continues.