GitHub Worm이 1,600만 다운로드를 기록한 npm 패키지를 강타하다

📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯3520 자

GitHub Actions 파이프라인을 탈취하여 악성 npm 패키지를 배포하는 자기 복제형 웜이 다시 한번 AntV, echarts-for-react, 그리고 Microsoft의 durabletask SDK를 공격했습니다. GitHub Worm이 1,600만 다운로드를 기록한 npm 패키지를 공격하다 핵심 요약 Mini Shai-Hulud, GitHub Actions를 악용하여 주간 다운로드 1,600만 회 공격 Team PCP라는 위협 그룹의 소행으로 추정되는 Mini Shai-Hulud 캠페인은 일반적인 공급망 공격과는 다른 방식을 취합니다. 공격자는 개발자의 자격 증명을 탈취하여 직접 게시하는 대신, GitHub에서 대상 저장소를 포크(fork)한 뒤 `pull_request_target` 워크플로우를 트리거하는 풀 리퀘스트를 생성합니다. 이 방식은 악성 pnpm 저장소로 GitHub Actions 캐시를 오염시키며, 이후 감염된 패키지는 유효한 서명 인증서를 포함하고 SLSA 출처 검사를 통과하게 되어 표준 보안 도구에서는 완전히 정상적인 것으로 보입니다. 5월 19일, 공격자들은 @atool 네임스페이스의 손상된 메인테이너 계정에 접근하여 22분간의 자동화된 공격을 통해 323개 패키지에 걸쳐 300개 이상의 악성 패키지 버전을 배포하며 AntV 데이터 시각화 생태계를 강타했습니다. 영향을 받은 패키지 중에는 주간 다운로드 수가 약 110만 회에 달하는 Apache Echarts용 React 래퍼인 echarts-for-react가 포함되어 있습니다. 이번 공격으로 영향을 받은 모든 패키지의 주간 총 다운로드 수는 약 1,600만 회로 추정됩니다. 가장 우려되는 기술적 세부 사항은 개발자가 개입을 시도할 때 발생합니다. 이 악성코드는 '데드맨 스위치(dead-man’s switch)'를 설치하는데, 이는 60초마다 GitHub API를 폴링하여 자신이 생성한 npm 토큰이 취소되었는지 확인하는 셸 스크립트입니다. 해당 토큰에는 “IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner”라는 설명이 포함되어 있으며, 개발자가 이를 취소할 경우 즉시 감염된 기기의 홈 디렉토리를 삭제합니다. 또한 이 토큰은 GitHub, AWS, Azure, GCP, Kubernetes, Hashi Corp Vault 및 90개 이상의 개발자 도구 구성에서 자격 증명을 탈취한 뒤 연결된 클라우드 인프라 전반으로 측면 이동(lateral movement)합니다. 단일 공격, 다수의 피해자 이 캠페인은 5월 19일 Microsoft의 공식 durabletask Python SDK 악성 버전 3개가 게시되면서 Python Package Index (PyPI)도 동시에 공격했습니다. 이 버전들은 28KB 크기의 자격 증명 탈취 페이로드를 조용히 다운로드하고 실행하며(초기 실행 후 AWS, Azure, GCP 환경으로 이동 가능), GitHub는 5월 20일 npm 배포에 대한 세 가지 핵심 변경 사항을 발표하며 대응했습니다. 여기에는 조직이 수백 개의 패키지를 신뢰할 수 있는 배포 방식으로 대규모 마이그레이션하도록 돕는 대량 OIDC 온보딩, GitHub Actions 및 Gitlab 외의 OIDC 제공업체 지원 확대, 그리고 패키지 게시 전 메인테이너에게 검토 시간을 부여하고 다중 인증(MFA) 승인을 요구하는 새로운 단계적 배포 모델이 포함됩니다. 또한 GitHub는 기존의 클래식 토큰을 폐기하고 FIDO 기반 2FA로 사용자를 마이그레이션하며, 기본적으로 토큰 기반 배포를 허용하지 않을 계획입니다. 2025년 9월에 발생한 이전 캠페인 당시 GitHub는 npm 레지스트리에서 500개 이상의 손상된 패키지를 삭제한 바 있습니다. 블록체인 보안 기업 Slowmist는 5월 14일, 주간 다운로드 82만 2천 회를 기록한 node-ipc 패키지의 악성 버전 3개를 동일 캠페인의 일환으로 식별하고 조기 경보를 발령했습니다. 해당 패키지를 사용하는 개발자들은 즉시 의존성 트리를 감사하고, 악성 토큰을 먼저 취소하지 않은 상태에서 모든 자격 증명을 교체하며, Snyk, Wiz, Socket.dev, Step Security가 게시한 침해 지표(IoC)를 확인할 것을 권고받

데이터 상태✓ 전체 내용 추출 완료원문 읽기 (Bitcoin.com)

🔍과거 유사 사건· 키워드 + 종목 매칭0 건

유사 사건을 찾을 수 없음 (더 많은 데이터 샘플 또는 embedding 검색 필요, 현재는 MVP 키워드 매칭)

원본 정보

ID:9ba20d314a

출처:Bitcoin.com

발행:2026-05-20 06:05:26

분류:일반 · 도출된 분류 neutral

종목:지정되지 않음

커뮤니티 투표:+0 / −0 · ⭐ 0 중요 · 💬 0 댓글