Mini Shai-Hulud의 귀환: npm 생태계를 강타한 자가 전파형 공급망 공격 (5/11)

6분 내 10개 패키지 감염시킨 CI/CD 기반 자가 전파형 공급망 공격

lamanus2026년 5월 12일1분advanced

AI 요약

Context

SLSA provenance 및 OIDC 기반 게시 체계 등 현대적 CI/CD 보안 표준을 갖춘 환경에서도 유효한 공급망 공격 발생. 신뢰 기반의 자동화된 빌드 프로세스가 공격자의 토큰 탈취 시 오히려 악성 코드 확산의 고속도로로 활용되는 아키텍처적 취약점 노출.

Technical Solution

2.3MB 규모의 난독화된 페이로드를 통한 GitHub 및 npm 토큰, CI/CD 시크릿 탈취 로직 수행
탈취한 자격증명을 활용해 정상적인 빌드 파이프라인에 진입하는 자가 전파(Self-propagating) 메커니즘 설계
저장소 직접 침입 방식이 아닌 정상 패키지의 업데이트 프로세스에 기생하는 공급망 침투 전략 채택
상호 연결된 npm 의존성 그래프를 매개체로 활용하여 단일 토큰 침해 시 수 분 내 다수 패키지로 연쇄 감염 유도
TanStack Router와 같이 사용 빈도가 높은 프레임워크 핵심 구성요소를 타깃팅하여 전파 범위 극대화

실천 포인트

- CI/CD 파이프라인 내 Secret의 생명주기를 최소화하고 Short-lived Token 도입 검토 - 의존성 업데이트 시 락파일(lock-file) 기반의 해시 검증 및 SBOM(Software Bill of Materials) 분석 도구 적용 - npm publish 권한을 가진 토큰의 범위를 특정 패키지로 제한하는 Granular Access Control 설정 - 빌드 프로세스 중 외부 네트워크 통신을 제한하는 Egress Filtering 환경 구축

태그

#Supply Chain Attack #Self-Propagating Worm #CI/CD Security #npm Ecosystem #Secret Management

원문 읽기