TechFlow 보도에 따르면, 5월 12일 블록체인 보안 기관 슬로우미스트(@SlowMist_Team) 산하 위협 모니터링 시스템 미스트아이(MistEye)는 ‘Mini Shai-Hulud’라는 고도로 복잡한 npm 웜이 탄스타크(TanStack), 유아이패스(UiPath), 드래프트랩(DraftLab) 등 유명 개발자 프로젝트를 통해 확산되고 있음을 감지했습니다. 공격자는 GitHub 자격 증명을 탈취하여 합법적인 업데이트인 것처럼 위장한 악성 패키지를 게시하고, 그 안에 숨겨진 스크립트 router_init.js를 삽입했습니다. 이 스크립트는 GitHub Actions 등 CI/CD 환경에서 은밀히 실행되며, CI/CD 키, 클라우드 인프라 키, 암호화폐 지갑 정보를 전용으로 탈취한 후, GitHub 자체 인프라를 활용해 데이터를 외부로 유출합니다.
슬로우미스트는 관련 위협 인텔리전스(IOCs)를 고객에게 즉시 공유하였으며, 영향을 받은 소프트웨어 패키지를 사용 중인 프로젝트는 CI/CD 파이프라인 내 router_init.js 파일 존재 여부를 즉시 점검하고, 노출된 모든 GitHub 자격 증명, 클라우드 서비스 자격 증명 및 암호화폐 자격 증명을 갱신하며, 개발 환경 내 비정상적인 백그라운드 활동을 지속적으로 모니터링할 것을 권고했습니다.
즐겨찾기 추가
소셜 미디어 공유
