유출된 샤이-훌루드 악성코드가 새로운 npm 인포스틸러 캠페인을 촉발한다
유출된 Shai‑Hulud 악성코드를 이용한 새로운 npm 정보 탈취 캠페인
지난주 유출된 Shai‑Hulud 악성코드가 이제 Node Package Manager (npm) 생태계를 대상으로 한 새로운 공격에 활용되고 있다. 주말 동안 npm 계정 deadcode09284814를 운영하던 위협 행위자는 네 개의 악성 패키지를 공개했으며, 그 중 하나는 Shai‑Hulud의 비난독화 복제본을 포함하고 있다. 이 악성코드는 개발자 자격 증명, 비밀키, 암호화폐 지갑 데이터 및 기타 계정 정보를 표적한다. 네 패키지 모두 데이터를 유출하며, 그 중 하나는 감염된 호스트를 분산 서비스 거부(DDoS) 공격용 봇으로 전환한다.
공개된 악성 패키지
공격자는 Axios 사용자를 노린 오타 스쿼팅 이름과 일반적인 이름을 사용했다:
- chalk-tempalte – Shai‑Hulud 복제본(정보 탈취)
- @deadcode09284814/axios-util – 자격 증명 및 클라우드 설정 탈취
- axois-utils – 정보 탈취 + 지속형 DDoS 봇넷(“phantom bot”)
- color-style-utils – 암호화폐 지갑 및 IP 정보를 목표로 하는 기본 정보 탈취
chalk‑tempalte
- 유출된 Shai‑Hulud 소스 코드를 거의 그대로 복제했으며, TeamPCP 해커 그룹에 기인한다.
- 난독화나 추가 보호가 전혀 적용되지 않았으며, 코드는 그대로 복사된 것이다.
- 패키지는 도난당한 자격 증명을 공개 자동 생성 GitHub 저장소에 업로드한다.
axois‑utils
- 표준 정보 탈취 기능 외에 DDoS 기능도 포함한다.
- HTTP, TCP, UDP 플러드와 TCP 리셋 공격을 지원한다.
- 내부에 “phantom bot”이라는 용어가 언급된 흔적이 발견되었다.
기술적 세부 사항
악성코드는 다음 명령·제어(C2) 서버로 데이터를 유출한다:
87e0bbc636999b.lhr.life원래 GitHub 공개 기능을 그대로 유지하여, 도난당한 자격 증명을 저장하기 위해 자동으로 공개 저장소를 생성한다.
DDoS 공격 코드 – 출처: OXsecurity
Shai‑Hulud 캠페인은 2025년 9월부터 활동해 왔으며, 정상적인 npm 패키지에 악성 코드를 삽입하고, 배포 권한 자격 증명을 탈취한 뒤, 수집된 데이터를 공개 GitHub 저장소에 노출시켰다. 이 캠페인은 TeamPCP 해커 그룹과 연관된 것으로 알려졌다.
영향 및 권고 사항
- 네 악성 패키지의 총 다운로드 수는 2,678회이다.
- 해당 패키지를 설치한 개발자는 즉시 제거하고, 영향을 받은 시스템의 모든 자격 증명 및 API 키를 교체해야 한다.
참고 자료
-
OXsecurity 블로그 – 새로운 행위자들이 Shai‑Hulud 복제본을 배포, TeamPCP 모방자가 등장
-
OXsecurity 분석 – 원본 Shai‑Hulud 소스 코드
-
Shai‑Hulud 캠페인 연대기(2025년 9월 이후)