악성 npm 패키지 4개가 정보 탈취 및 팬텀 봇 DDoS 악성코드를 배포.

Source: The Hacker News

개요

보안 연구원들은 정보 탈취형 악성코드를 포함한 네 개의 새로운 npm 패키지를 발견했습니다. 이 중 하나는 TeamPCP가 오픈소스로 공개한 Shai‑Hulud 웜을 그대로 복제한 것입니다.

식별된 패키지

악성으로 확인된 패키지는 다음과 같습니다:

• chalk-tempalte – 825 다운로드
• @deadcode09284814/axios-util – 284 다운로드
• axois-utils – 963 다운로드
• color-style-utils – 934 다운로드

네 패키지는 모두 동일한 npm 사용자 deadcode09284814 가 배포했으며, 현재도 다운로드가 가능합니다.

악성 페이로드

Phantom Bot DDoS 악성코드 (axois-utils)

• Golang 기반 분산 서비스 거부(DDoS) 봇넷 Phantom Bot을 전달합니다.
• HTTP, TCP, UDP 프로토콜을 이용해 대상에 트래픽을 폭주시킬 수 있습니다.
• Windows 시작 폴더에 페이로드를 추가하고, 스케줄된 작업을 생성하여 Windows와 Linux 모두에서 지속성을 확보합니다.

정보 탈취 패키지

• chalk-tempalte – 자체 C2 서버와 개인 키를 가진 Shai‑Hulud 웜 소스 코드를 복제한 버전을 포함합니다. 탈취된 자격 증명은 87e0bbc636999b.lhr[.]life 로 전송됩니다.
• @deadcode09284814/axios-util 및 color-style-utils – SSH 키, 환경 변수, 클라우드 자격 증명, 시스템 정보, IP 주소, 암호화폐 지갑 데이터를 각각 80.200.28[.]28:2222 와 edcf8b03c84634.lhr[.]life 로 유출합니다.

탈취된 데이터는 손상된 GitHub 토큰을 이용해 새 공개 GitHub 저장소에도 전송됩니다. 해당 저장소 설명은 “A Mini Sha1‑Hulud has Appeared.” 라고 적혀 있습니다.

침해 지표

• 87e0bbc636999b.lhr[.]life, 80.200.28[.]28:2222, edcf8b03c84634.lhr[.]life 로 향하는 네트워크 트래픽.
• 설명이 “A Mini Sha1‑Hulud has Appeared.” 인 새로운 공개 GitHub 저장소가 생성된 경우.
• node_modules 디렉터리 내에 악성 패키지가 존재하는 경우.
• Windows 시작 폴더에 파일이 배치되었거나 비정상적인 스케줄 작업이 존재하는 경우.

완화 권고 사항

1. 즉시 영향을 받은 패키지를 제거합니다.
2. IDE 및 코딩 어시스턴트(예: Claude Code)에서 악성 설정 파일을 모두 삭제합니다.
3. 노출되었을 가능성이 있는 모든 비밀 키, API 토큰, SSH 키, 클라우드 자격 증명을 재발급합니다.
4. GitHub에서 문자열 “A Mini Sha1‑Hulud has Appeared.” 가 포함된 저장소를 검색하고, 발견 시 삭제합니다.
5. 위에 열거된 의심 도메인 및 IP 주소에 대한 네트워크 접근을 차단합니다.

---

출처:

• OX Security 블로그 – 새로운 공격자, Shai‑Hulud 복제본 배포
• The Hacker News – TanStack 공급망 공격