해커들이 진행 중인 공급망 공격에서 수십 개의 인기 있는 오픈 소스 패키지를 손상시켰다

Source: TechCrunch

Image Credits: fotograzia / Getty Images

개요

해커들이 개발자와 그들이 유지 관리하는 프로젝트를 목표로 하는 지속적인 공급망 공격에서 수십 개의 인기 오픈소스 패키지를 손상시켰습니다. “Mini Shai‑Hulud”라고 명명된 이번 캠페인은 이전의 대규모 침입에 이어 하위 사용자에게 자동으로 전달되는 악성 업데이트를 주입하려는 목적을 가지고 있습니다.

공격 세부 사항

• 시간표: 공격자는 개발자 계정을 장악한 뒤 약 20 분 만에 317개의 패키지에 걸쳐 630개 이상의 악성 버전을 공개했습니다.
• 동기: 주요 목표는 자격 증명 탈취—특히 비밀번호 관리자를 통해 저장된 비밀번호—이며, 이를 통해 추가 데이터 유출 및 악성코드 전파를 촉진하려 합니다.
• 방법: 유지 관리자의 계정을 손상시켜 패키지 레지스트리(예: npm)와 경우에 따라 GitHub 저장소에 직접 악성 릴리스를 푸시할 수 있습니다.

영향을 받은 프로젝트

• AntV – 알리바바가 유지 관리하는 시각화 라이브러리.
• 다양한 생태계를 아우르는 추가 패키지들도 손상되었으며, 전체 목록은 StepSecurity와 SafeDep의 보고서에 자세히 나와 있습니다.

“해커가 한 개발자의 계정을 탈취하고 약 20분 만에 317개의 패키지에 걸쳐 630개 이상의 악성 버전을 배포했습니다.” – SafeDep

관련 사건

• OpenAI 침해: 별도의 Mini Shai‑Hulud 공격 물결에서 해커들은 오픈소스 라이브러리 TanStack을 침해한 뒤 두 명의 OpenAI 직원 컴퓨터를 장악했습니다. OpenAI는 여러 피해자 중 하나였습니다.
  • Source: TechCrunch – OpenAI says hackers stole some data after latest code security issue

추가 읽을거리

• StepSecurity 블로그 포스트: Shai‑Hulud – Here we go again: mass npm supply‑chain attack hits the AntV ecosystem
• SafeDep 분석: Mini Shai‑Hulud strikes again – 314 npm packages compromised
• JFrog Security 트윗: malicious GitHub updates