Shai-Hulud 공급망 공격이 npm 레지스트리에 수백 개의 트로이목마로 변조된 패키지를 심었습니다. 이 변조된 패키지들은 Zapier, ENS Domains, PostHog, Postman 등 잘 알려진 패키지들입니다. 이 공격은 개발자와 지속적인 통합 및 배포(CI/CD)의 비밀정보(토큰·키)을 훔치기 위해 npm에 악의적인 패키지를 추가했습니다. 훔친 데이터는 인코딩된 형태로 GitHub에 자동으로 게시되었습니다.
Shai-Hulud 악성 코드는 처음으로 npm 공간에 등장했을 때, 개발자의 정보을 훔치기 위해 TruffleHog 도구를 사용하는 자기 복제 페이로드를 가진 187개의 패키지를 침해했습니다. 위협 요소는 합법적인 패키지를 자동으로 다운로드하고, 악의적인 스크립트를 주입하기 위해 package.json 파일을 수정한 후, 침해된 관리자 계정을 사용하여 npm에 게시했습니다. 이 공격으로 인해 GitHub에는 수천 개의 악성 패키지가 생성되었으며, 이로 인해 개발자들의 계정이 침해되었습니다.
GitHub는 공격자의 저장소를 삭제하고 있지만, 공격자는 매우 빠르게 새로운 저장소를 생성하고 있습니다. Aikido Security가 발견한 186개의 패키지 중 일부는 Zapier, ENS Domains, PostHog, AsyncAPI 등에서 새로운 버전의 Shai Hulud 악성 코드로 침해되었습니다. 개발자들은 Aikido의 게시물을 확인하여 감염된 패키지의 전체 목록을 확인하고, 안전한 버전으로 다운그레이드하며, 비밀번호와 CI/CD 토큰을 즉시 변경할 것을 권장합니다.
https://www.bleepingcomputer.com/news/security/shai-hulud-malware-infects-500-npm-packages-leaks-secrets-on-github/
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.