VU#534320: NPM 공급망 침해, 자격 증명 도용 및 자체 확산으로부터 생태계를 보호하는 데 따르는 어려움 노출
"Shai-Hulud"라는 이름으로 알려진 중대한 npm 공급망 침해가 2025년 9월에 공개되었습니다. 이 자체 확산 악성코드는 500개 이상의 npm 패키지에 영향을 미쳤습니다. 이 공격은 자격 증명 탈취와 자동화된 패키지 게시를 이용하여 확산됩니다. postinstall 스크립트와 CI/CD 플랫폼 침해와 같은 알려진 취약점을 악용합니다.악성코드는 패키지 설치 후 postinstall 스크립트를 통해 악성 bundle.js 파일을 실행함으로써 시작되었을 가능성이 높습니다. 이 스크립트는 TruffleHog와 같은 도구를 사용하여 비밀 정보를 스캔하고 수집했습니다. 탈취된 자격 증명은 악성코드를 다른 저장소에 게시하는 데 사용되었으며, 침해된 시스템은 새로운 감염 벡터로 바뀌었습니다. GitHub Actions는 이전에 목격된 전술인 자동화된 트로이 목마화에 특히 남용되었습니다.영향으로는 500개 이상의 침해된 패키지와 CrowdStrike의 npm 계정 침해 가능성이 있습니다. GitHub와 CISA는 이 사건에 대한 권고를 발표했습니다. 완화를 위해 npm 사용자는 침해된 패키지를 감사하고 교체해야 하며, package-lock.json을 사용하여 종속성을 잠그고 내부 미러를 고려해야 합니다. 가능한 경우 postinstall 스크립트를 비활성화하는 것도 권장됩니다. 개발자는 노출된 자격 증명을 교체하고 CI/CD 환경에서 최소 권한 원칙을 시행해야 합니다.