주간 93만 건 다운로드 패키지 타겟 Mini Shai-Hulud 공급망 공격

The never-ending supply chain attacks worm into SAP npm packages, other dev tools

Jessica Lyons2026년 4월 30일3분advanced

AI 요약

Context

npm 및 PyPI 등 공개 패키지 저장소의 신뢰 모델을 악용한 Supply Chain Attack 발생. CI/CD 파이프라인과 개발자 환경의 Credential 관리 취약점을 이용해 권한을 탈취하는 고도화된 전파 구조 설계.

Technical Solution

npm preinstall 스크립트를 통한 패키지 설치 단계의 자동 악성 코드 실행 구조 구현
Multi-stage Payload 설계를 통한 Credential Stealing 및 Self-propagation 단계 분리
Runner Memory 직접 접근 방식을 통한 GitHub Token, Cloud Secret, Kubernetes Token 추출
탈취한 데이터를 암호화한 뒤 피해자의 GitHub 계정 내 신규 Repository로 Exfiltration 하는 은닉 경로 구축
PyPI의 Lightning 패키지 import 시점에 동작하는 Obfuscated JavaScript Payload 주입으로 타겟 확장

실천 포인트

- npm install 시 --ignore-scripts 옵션을 통해 임의 스크립트 실행 차단 검토 - CI/CD Runner의 Memory Dump 방지를 위한 단기 유효 Token(Short-lived Token) 도입 - 의존성 잠금 파일(package-lock.json, poetry.lock)의 Hash 검증 강제화 - SBOM(Software Bill of Materials) 도입을 통한 실시간 의존성 취약점 모니터링 체계 구축

태그

#Supply Chain Attack #CI/CD Security #Credential Stealing #npm #PyPI

원문 읽기