최근 Shai-Hulud 공급망 공격으로 인해 PyPI의 19개 패키지가 해킹되어, 수십만 건 이상 다운로드된 것으로 확인되었다. 이번 공격은 주로 Dynamo, Spateo, CoolBox, U-FISH, Napari-UFISH 등 인기 바이오인포매틱스 도구를 포함하고 있으며, 애플리케이션 보안 기업 Socket이 이를 발견하였다. 공격자는 ‘*-setup.pth’ 파일과 난독화된 JavaScript 페이로드(‘_index.js’)를 삽입하여, Python 실행 시 악성 코드가 자동으로 동작하도록 설계하였다.
이 악성 페이로드는 GitHub 토큰, AWS·GCP·Azure 등 클라우드 자격증명, SSH 키, Docker 자격증명, .env 파일 등 다양한 개발자 비밀 정보를 탈취한다. 탈취된 정보는 자동 생성된 GitHub 저장소나 HTTPS를 통한 외부 서버로 전송된다. 또한, 러시아 환경이나 보안 도구를 탐지해 회피하며, Linux에서는 systemd 서비스, macOS에서는 LaunchAgents를 통해 지속성을 확보한다.
Socket은 영향을 받은 모든 패키지와 버전을 공개하고, 해당 패키지를 설치한 조직은 모든 비밀 정보를 교체하고 안전한 백업으로 환경을 복구할 것을 권고하였다. 방어자는 .pth 파일이 포함된 Python 패키지, Bun JavaScript 런타임의 비정상적 다운로드, Python이 Bun을 실행하는 프로세스 체인 등을 주의 깊게 모니터링해야 한다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.