피드로 돌아가기
The RegisterSecurity
원문 읽기
Red Hat npm 패키지 8만 건/주 유포된 공급망 공격 분석
Shai-Hulud malware worms Red Hat npm package versions downloaded 80K times a week
AI 요약
Context
Red Hat Cloud Services 네임스페이스 내 32개 이상의 npm 패키지 릴리스가 Mini Shai-Hulud 웜에 감염됨. 특정 직원 GitHub 계정 탈취를 통해 코드 리뷰 절차를 우회한 Malicious Orphan Commit 삽입으로 발생함.
Technical Solution
- preinstall hook을 활용하여 npm install 단계에서 개발자 코드 실행 전 페이로드 자동 활성화
- GitHub Actions secrets, npm tokens, Kubernetes, Vault 등 민감 데이터 수집을 위한 전용 콜렉터 설계
- GCP 및 Azure Identity 수집 기능을 추가하여 클라우드 환경 전체에 대한 접근 권한 획득 시도
- 감염 시마다 고유하게 암호화된 페이로드를 생성하여 기존 Hash 기반의 IoC(Indicators of Compromise) 탐지 무력화
- 암호화된 데이터 유출 로직과 GitHub 기반 Fallback 메커니즘을 통한 공급망 전파 지속성 확보
실천 포인트
1. GitHub 계정의 2FA 강제 적용 및 권한 최소화 원칙 준수
2. npm install 시 --ignore-scripts 옵션을 통한 임의 스크립트 실행 차단 검토
3. CI/CD 파이프라인 내에서 의존성 패키지의 Hash 값을 고정하는 Lock 파일 무결성 검증 도입
4. Cloud Identity 및 Secrets 관리 도구(Vault 등)의 접근 로그 모니터링 강화