npm 패키지 4종 통한 Supply Chain Attack 및 DDoS Botnet 유포

Shai-Hulud copycat worm infects yet another npm package

2026년 5월 19일3분intermediate

AI 요약

Context

오픈소스 라이브러리의 높은 신뢰도를 악용한 Supply Chain Attack이 지속 발생하는 상황. 특히 Chalk와 같은 유명 라이브러리의 확장 패키지로 위장하여 개발 환경의 권한을 탈취하는 정교한 공격 기법이 관찰됨.

유명 라이브러리 Chalk의 확장판으로 위장한 chalk-tempalte 패키지를 통해 Shai-Hulud Worm 복제본 주입
Reverse Proxy(lhr.life)를 활용하여 내부 네트워크를 외부 인터넷에 노출시키는 C2 서버 통신 구조 설계
SSH Key, Environment Variables, Cloud Credentials 등 민감 정보를 수집하여 원격 서버 및 GitHub Repository로 전송
Go 언어 기반의 Phantom Bot을 통해 HTTP, TCP, UDP, Reset 요청을 생성하는 DDoS Botnet 기능 구현
패키지 삭제 후에도 시스템에 잔류하는 Persistence Mechanism을 적용하여 지속적인 제어권 유지
타겟별 맞춤형 데이터 수집을 위해 4종의 서로 다른 Malware Payload를 분산 배치한 전략적 공격 수행

실천 포인트

1. npm install 전 패키지 이름의 정확성 및 작성자 신뢰도 검증

2. IDE 및 AI Coding Agent의 환경 변수 및 Secret Key 노출 여부 상시 모니터링

3. 의존성 잠금 파일(package-lock.json)의 무결성 검토 및 정기적인 Secret Key Rotation 수행

4. 네트워크 레벨에서 알려지지 않은 외부 도메인(lhr.life 등)으로의 이상 트래픽 차단 설정

태그