다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 Shai Hulud v2 맬웨어

Shai Hulud v2 맬웨어

멀웨어년에 Mezo 년까지
번역 :

npm 레지스트리에서 830개 이상의 패키지가 손상된 후, Shai-Hulud 공급망 공격의 두 번째 물결이 Maven 생태계로 확산되었습니다. 연구원들은 이전 npm 공격과 동일한 악성 구성 요소인 setup_bun.js 로더와 bun_environment.js 페이로드를 포함하는 Maven Central 패키지(org.mvnpm:posthog-node:4.18.1)를 발견했습니다. 현재 영향을 받은 것으로 알려진 Java 패키지는 이 패키지뿐입니다.

주목할 점은 Maven 패키지가 PostHog에서 게시된 것이 아니라, npm 패키지를 Maven 아티팩트로 재빌드하는 자동화된 mvnpm 프로세스를 통해 생성되었다는 것입니다. Maven Central은 모든 미러링된 사본이 2025년 11월 25일 기준으로 삭제되었음을 확인했으며, 손상된 npm 구성 요소가 다시 게시되는 것을 방지하기 위해 추가 보호 조치를 시행하고 있습니다.

글로벌 개발자 영향 및 공격 목표

이 최신 공격은 전 세계 개발자를 표적으로 삼아 다음과 같은 민감한 데이터를 훔치려 합니다.

  • API 키
  • 클라우드 자격 증명
  • npm 및 GitHub 토큰

또한 웜과 유사한 자가 복제 방식으로 공급망을 더욱 심층적으로 침해합니다. 이번 Shai-Hulud 변종은 9월에 처음 발견된 변종보다 더욱 은밀하고 공격적이며 파괴적입니다. npm 관리자 계정을 침해함으로써 공격자는 개발자 컴퓨터에 백도어를 설치하는 트로이 목마 패키지를 게시하고, GitHub 저장소로 유출될 비밀을 자동으로 스캔할 수 있습니다.

맬웨어 작동 방식: 이중 워크플로 및 스텔스 기술

이 공격은 두 가지 악성 워크플로를 활용합니다.

  • 자체 호스팅 러너 등록: GitHub 토론이 열릴 때마다 임의의 명령 실행을 허용합니다.
  • 비밀 수집 워크플로: 자격 증명을 체계적으로 수집하여 GitHub에 푸시합니다.
  • Shai-Hulud v2의 주요 개선 사항은 다음과 같습니다.
  • Bun 런타임을 사용하여 핵심 로직을 숨기기
  • 감염 한도 20개에서 100개로 확대
  • 탐지 회피를 위한 GitHub의 무작위 추출 저장소

지금까지 28,000개가 넘는 저장소가 영향을 받았으며, 이는 캠페인의 엄청난 규모와 은밀함을 보여줍니다.

악용된 취약점과 공급망 메커니즘

위협 행위자들은 GitHub Actions 워크플로, 특히 pull_request_target 및 workflow_run 트리거의 CI 구성 오류를 악용해 왔습니다. 잘못 구성된 워크플로 하나만 있어도 저장소가 '최초 감염자'로 전락하여 악성 코드가 빠르게 확산될 수 있습니다.

이 공격은 AsyncAPI, PostHog, Postman과 관련된 프로젝트를 표적으로 삼았으며, npm의 여러 Nx 패키지에 영향을 미친 2025년 8월 S1ngularity 공격으로 시작된 더 광범위한 캠페인을 계속했습니다.

Fallout: 유출된 비밀과 시스템적 위험

캠페인 분석 결과:

  • AWS, Google Cloud, Microsoft Azure의 수백 개의 GitHub 액세스 토큰과 클라우드 자격 증명이 유출되었습니다.
  • 비밀이 담긴 파일 5,000개 이상이 GitHub에 업로드되었습니다.
  • 4,645개 저장소에서 확인된 11,858개의 고유한 비밀 중 2,298개는 2025년 11월 24일 기준으로 유효하고 공개적으로 노출되었습니다.

이는 단 한 명의 손상된 유지 관리자가 어떻게 연쇄 효과를 일으켜 수천 개의 다운스트림 애플리케이션을 감염시킬 수 있는지 보여줍니다.

개발자를 위한 권장 사항

노출을 완화하기 위해 개발자는 다음을 수행해야 합니다.

  • 모든 API 키, 토큰 및 자격 증명을 회전합니다.
  • 손상된 종속성을 감사하고 제거합니다.
  • 깨끗한 패키지 버전을 다시 설치하세요
  • 최소 권한 액세스, 비밀 스캐닝 및 자동화된 정책 시행을 통해 CI/CD 환경 강화

샤이-훌루드는 현대 소프트웨어 공급망이 여전히 매우 취약하다고 강조합니다. 공격자들은 오픈소스 소프트웨어의 게시, 패키징, 배포 방식의 허점을 악용하고 있으며, 종종 제로데이 취약점을 이용하지도 않습니다. 가장 효과적인 방어는 소프트웨어의 구축, 공유, 소비 방식을 재고하는 것입니다.

트렌드

인사부 승인 요청 사기

피싱, 스팸
특히 사이버 범죄자들이 민감한 정보에 접근하기 위해 내부 부서를 사칭하는 사례가 증가하고 있으므로, 업무 관련 메시지를 검토할 때는 주의를 기울이는 것이 매우 중요합니다. 이러한 수법의 가장 최근 사례 중 하나는 계정 정보를 훔치고 회사 시스템을 침해하기 위해 고안된 피싱 공격인 인사부 승인 요청 사기입니다. HR로 위장한 기만적인 메시지 보안 연구원들이 조사한 사기성 이메일은 한 회사 인사부의 내부 공지로 위장했습니다. 곧 있을 직원 개발 단계와 관련된 업데이트로 위장되어 있으며, 새로운 보상 체계, 휴가 정책 개정, 그리고 급여 조정을 수신자가 검토해야 한다고 주장합니다. 제목은 '인사 승인 요청: 2025년 정책 업데이트'와 유사하지만, 정확한 문구는 각기 다릅니다. 설득력 있는...

BAFAIAI 랜섬웨어

랜섬웨어
현대의 위협은 점점 더 복잡해지고 그 영향력이 커짐에 따라 악성 소프트웨어로부터 개인 및 기업 시스템을 보호하는 것이 필수적입니다. 랜섬웨어 변종이 기기에 침투하면 데이터 손실, 운영 중단, 그리고 민감한 정보의 잠재적 노출 등 즉각적이고 심각한 결과를 초래하는 경우가 많습니다. BAFAIAI 랜섬웨어는 이러한 첨단 위협 중 하나로, 강력한 방어...

SafariBookings 사기

피싱, 스팸
사이버 범죄자들이 SafariBookings 사기라는 피싱 캠페인을 통해 여행 업계를 악용하고 있습니다. 이러한 이메일은 합법적인 회사, 조직 또는 서비스 제공업체와 연결되어 있지 않습니다. 여행 예약 서비스의 공식 메시지처럼 보이도록 설계되었지만, 그 유일한 목적은 수신자를 속여 민감한 개인 정보를 유출시키는 것입니다. 이러한 메시지에 감염되면 계정 도용, 금전적 손실, 신원 도용 등의 피해를 입을 수 있습니다. 사기의 작동 방식 사기 이메일은 캐나다 출신 발로흐(Balogh)와 같은 가명을 사용하는 고객이 사파리 투어 견적을 요청했다고 주장합니다. 메시지에는 성인 10명을 위한 8일 사파리 투어, 9,200달러(약 1,000만 원) 상당의 상품 등의 구체적인 정보가 담겨 있습니다. 이메일 수신자에게...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
47,642
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
38,134
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
35,492
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...