- 새로운 npm 공급망 공격인 "Shai-Hulud Worm (Second Coming)"이 300개 이상의 패키지를 감염시키고 25,000개 이상의 다운스트림 저장소에 영향을 미쳤습니다. 🐛
- Zapier, ENS, async API, Postthog, Browserbase, Postman 등 유명 서비스의 npm 패키지가 주요 공격 대상입니다. 🎯
- 이 공격의 주된 목표는 GitHub 토큰, 클라우드 키, API 키, npm 발행 토큰 등 개발자 비밀 정보를 탈취하는 것입니다. 🔑
- 악성 코드는
npm install실행 시pre-install스크립트를 통해 즉시 활성화되며, 환경을 스캔하여 탈취한 비밀 정보를 공격자 제어 GitHub 저장소로 전송합니다. ⚡ - 탈취된 비밀 정보는 "Shy Hollud"라는 이름의 새 GitHub 저장소에 업로드되며, 경우에 따라 피해자의 비공개 GitHub 저장소를 공개로 전환하기도 합니다. 🚨
- 이 악성코드는 단순한 정보 탈취를 넘어, 퍼블리싱 권한이 있는 개발자 머신에 침투하면 스스로 다른 패키지를 감염시키는 웜처럼 확산됩니다. 🦠
- 웜은 기존 패키지의 패치 버전을 올리고 새로운
postinstall스크립트를 주입하여 공격자가 수동으로 개입할 필요 없이 자동으로 전파됩니다. 🔄 - 보호를 위해 감염 가능성이 있는 모든 시스템의 GitHub 토큰, 클라우드 키, API 키, npm 발행 토큰 등 모든 비밀 정보를 즉시 재설정해야 합니다. 🛡️
- 예상치 못한 패치 버전 업데이트나 의심스러운
pre-install/postinstall스크립트가 있는지package.json파일을 감사해야 합니다. 🔍 - GitHub 디렉터리에서 낯선 YAML 워크플로 파일(악성코드가 정보 유출 자동화를 위해 생성)을 발견하면 즉시 삭제하고 다른 변경 사항을 확인해야 합니다. 🗑️
- npm 계정에 다단계 인증(MFA)을 적용하고, 패키지 발행 권한을 제한하며, 의존성 버전을 고정하여 발행 프로세스를 강화해야 합니다. 🔒
- 이번 사건은 모든
npm install이 신뢰의 지점이며, 유지 관리자 계정 침해가 수많은 프로젝트에 파급 효과를 미칠 수 있음을 상기시키는 중요한 보안 경고입니다. ⚠️
Recommanded Videos
"Data engineering became incredibly entrenched in Python."
2025. 9. 27.
26 다음으로
2022. 11. 12.
국비지원에서 안알려주는 자료구조 | 스택, 큐 , 해시테이블, 연결리스트
2024. 6. 5.
From Component API to SSR heaven, Safet Zahirovic — Svelte Summit Spring 2025
2025. 5. 27.
DGX Spark 구매, Glean
2025. 12. 8.
Deepseek-R1 (Tested) : RIP O3 & SONNET! This IS THE REAL OPEN AGI MODEL! (Beats O1 & 3.5 Sonnet)
2025. 1. 20.