마이크로소프트, 일부 GitHub 저장소 복구·다른 저장소는 오프라인 유지, 미아스마 조사 지속
출처: The Hacker News
Ravie Lakshmanan2026년 6월 9일 AI 보안 / 소프트웨어 공급망
Microsoft는 월요일에 최근 보안 사고(관련 기사)에 대응해 일부 GitHub 저장소를 일시적으로 삭제했으며, 이 사고로 73개의 오픈소스 프로젝트가 침해되어 코드에 정보 탈취기가 삽입되었습니다.
“우리의 최우선 과제는 고객과 전체 생태계를 보호하는 것입니다.”라고 Microsoft 대변인은 The Hacker News에 이메일로 전했습니다. “잠재적인 악성 콘텐츠를 조사하는 동안 일부 저장소를 일시적으로 삭제했습니다. 검토 후 복구된 저장소도 있지만, 작업이 진행되는 동안 오프라인 상태로 남을 수도 있습니다.”
“조사 과정에서 영향을 받은 저장소에서 콘텐츠를 다운로드했을 가능성이 있는 소수의 고객에게 통보했습니다. 추가 조사가 진행 중이며, 고객이 조치를 취해야 하는 사항이 발견되면 기존 지원 채널을 통해 직접 연락드리겠습니다.”
이 발표는 Windows 제작사가 Miasma라는 코드명으로 진행 중인 소프트웨어 공급망 캠페인에 의해 오픈소스 프로젝트가 침해되었다는 보고가 있은 뒤, GitHub에 호스팅된 수십 개의 오픈소스 프로젝트 접근을 차단한 지 며칠 만에 이루어졌습니다.
감염된 프로젝트 중에는 지난달 사이버 범죄 조직 TeamPCP가 먼저 침해해 Linux 시스템용 정보 탈취기를 배포한 Python 패키지 “durabletask”가 포함되어 있습니다.
Miasma 페이로드가 프로젝트에 삽입된 후 추가 분석을 통해, 개발자가 AI 기반 코딩 도구나 통합 개발 환경(IDE)에서 해당 저장소를 열면 자동으로 코드를 실행하도록 트리거할 수 있는 기능이 발견되었습니다.
이러한 발견은 널리 사용되는 오픈소스 패키지를 침해해 악성코드를 심고, 이를 하위 사용자 및 그 너머까지 전파시키는 지속적인 소프트웨어 공급망 캠페인의 최신 사례입니다.
특히 이번에는 Mini Shai‑Hulud, Miasma, Hades 파동과 연계된 새로운 PyPI 파동이 등장해, 그래프 학습, 환자 페노타이핑, phenopacket 툴링, 과학 워크플로우 등에 사용되는 생물정보학 관련 라이브러리 23개 패키지를 추가로 감염시켰습니다.
다른 감염된 패키지로는 AI 및 Model Context Protocol(MCP) 관련 패키지와, requests와 flask을 흉내 내는 rsquests, tlask, rlask와 같은 타이포스쿼트 스타일 패키지, 그리고 langchain‑core‑mcp가 있습니다. 정식 패키지와 유인 패키지 전체 목록은 다음과 같습니다.
- dreamgen 1.8.1
- embiggen 0.11.97
- ensmallen 0.8.101
- gpsea 0.9.14
- instructor-mcp 1.15.2, 1.15.3
- langchain-core-mcp 1.4.2, 1.4.3
- mem8 6.0.1
- mflux-streamlit 0.0.3, 0.0.4
- openai-mcp 2.41.1, 2.41.2
- orchestr8-platform 3.3.2
- phenopacket-store-toolkit 0.1.7
- ppkt2synergy 0.1.1
- pyphetools 0.9.120
- ray-mcp-server 0.2.1
- rlask 3.1.7
- rsquests 2.34.3
- tiktoken-mcp 0.13.1, 0.13.2
- tlask 3.1.4
새로운 클러스터는 Socket에서 밝혀낸 바와 같이 새로운 페이로드 전달 메커니즘을 사용합니다. 이는 위협 행위자들이 “빠르게 움직이는 공급망 캠페인”의 일환으로 다양한 방법을 실험하고 있다는 점을 보여줍니다.
이전 패키지는 실행 가능한 .pth 스타트업 훅을 이용해 Bun을 부트스트랩하고 난독화된 JavaScript 탈취기를 실행했지만, 최신 패키지는 다음과 같은 새로운 접근 방식을 채택했습니다.
- 패키지를 import 하면 탈취기가 실행되는 트로이 목마화된 native .abi3.so 확장 파일
- 페이로드를 동일한 wheel에 포함하지 않고, sys.path에서 “_index.js” 파일을 탐색하도록 설계된 .pth 스타트업 훅 로더 변형
Socket은 The Hacker News에 “마지막 변형은 로더와 JavaScript 페이로드를 분리함으로써 정적 분석 시 패키지가 덜 명백하게 악성으로 보일 수 있다”고 설명했습니다.
사용된 방법에 관계없이 최종 결과는 동일합니다. 실행되면 악성코드는 개발자 워크스테이션과 CI/CD 환경을 표적으로 삼아 고가치 비밀 정보를 수집하고 이를 공개 GitHub 저장소로 유출합니다.
생물정보학 패키지의 핵심 기능 중 하나는 JavaScript 블록 주석에 삽입된 적대적 프롬프트 인젝션을 통해 AI 기반 스캐너와 분석가 코파일럿을 교란하고 우회할 수 있다는 점이며, 이는 StepSecurity가 이전에 상세히 다룬 바 있습니다.
“Shai‑Hulud와 Miasma 활동의 Hades 분파는 단일 패키지 사건이 아니라 빠르게 움직이는 공급망 캠페인으로 이해하는 것이 가장 정확합니다.”라고 Socket 연구원 Kirill Boychenko가 말했습니다. “langchain‑core‑mcp 변형은 .pth 로더를 설치해 sys.path에서 _index.js 를 찾게 함으로써 로더와 페이로드가 같은 wheel에 있을 필요가 없게 합니다.”
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 [Google News](https://news.google.com/publications/CAAqLQgKIidDQklTRndnTWFoTUtFWF