미니 샤이훌루드 웜이 탈취된 계정 하나를 이용해 30분도 안 되어 323개의 npm 패키지를 탈취했습니다

5월 19일, 미니 샤이훌루드 웜은 npm 관리자 계정을 하나 해킹하여 30분도 채 안 되는 시간 동안 323개 패키지에 걸쳐 639개의 악성 버전을 배포했습니다.

해킹당한 계정인 "atool"(i@hust.cc)은 알리바바의 @antv 데이터 시각화 스택 전체와 암호화폐 대시보드, DeFi 프런트엔드, 핀테크 애플리케이션에서 사용되는 독립형 라이브러리를 공개하고 있습니다.

가장 많은 트래픽을 기록한 대상은 size-sensor(주간 다운로드 420만 건), echarts-for-react(110만 건), @antv/scale(220만 건), timeago.js(115만 건)입니다.

과 같은 semver 범위를 사용하는 프로젝트에서 ^3.0.6 클린 설치 시 악성 버전인 3.2.7로 자동 해석되는 문제가 발생했습니다. 관리자는 한 시간 안에 GitHub 보안 경고를 닫고, 해당 경고들을 닫힌 이슈에 묻어버렸습니다.

페이로드가 무엇을 훔치고 어떻게 지속되는가

dent에 따르면 해당 멀웨어는 EC2 및 ECS 메타데이터를 통한 AWS 키, Google Cloud 및 Azure 토큰, GitHub 및 npm 토큰, SSH 키, Kubernetes 서비스 계정, HashiCorp Vault 비밀 키, Stripe API 키, 데이터베이스 연결 문자열, 1Password 및 Bitwarden의 로컬 암호 저장소 등 20가지 이상의 자격 증명 유형을 수집합니다.

정보 유출은 두 가지 경로를 통해 이루어집니다. 도난당한dent정보는 AES-256-GCM으로 암호화되어 명령 및 제어 서버로 전송됩니다.

이 웜은 차선책으로 탈취된 GitHub 토큰을 사용하여 sardaukar-melange-742 또는 fremen-sandworm-315와 같이 듄(Dune) 테마의 이름을 가진 공개 저장소를 생성한 다음, 탈취한 데이터를 파일로 커밋합니다. StepSecurity는 이미 2,500개 이상의 GitHub 저장소에서 이 캠페인과 관련된 지표가 발견되었다고 보고했습니다.

또한, 이 웜은 HTTPS를 통해 전송되는 OpenTelemetry trac데이터에서 탈취한 데이터를 암호화합니다. 리눅스 기반 시스템에서는 패키지가 제거된 후에도 GitHub에서 명령어를 가져올 수 있는 systemd 사용자 서비스를 설정합니다.

이 웜은 개발 환경에서 재활성화를 보장하기 위해 .vscode 및 .claude 구성 파일을 수정합니다.

캠페인 규모가 계속 커지고 있습니다

이번이 세 번째 공격입니다. 바와 같이 Cryptopolitan 보도한 , 최초의 샤이훌루드 변종은 트러스트 월렛의 npm 패키지를 공격하여 850만 달러의 손실을 초래했습니다. 두 번째 공격은 5월 11일에 미스트랄 AI, 탄스택, 아이패스, 가드레일즈 AI를 강타했습니다.

Socket은 npm, PyPI 및 Composer를 통해 502개의 서로 다른 패키지에서 총 1,055개의 손상된 버전을dent할 수 있었습니다.

데이터독 연구원들에 따르면, 이번 공격 캠페인의 배후에 있는 위협 그룹인 팀PCP는 지하 해킹 포럼에서 자신들의 도구를 홍보해 왔습니다. 서로 다른 명령 및 제어 서버를 사용하는 모방 버전들이 등장하면서 공격 주체를 특정하기가 어려워졌습니다.

SlowMist의 CEO인 23pds는 문제가 발생한 버전이 설치된 모든 환경은 완전히 손상된 것으로 간주해야 한다고 말했습니다.

권장 조치에는 모든 액세스 토큰 취소, AWS, GitHub, npm 및 클라우드 공급자의dent증명 순환, 계정 게시를 위한 다단계 인증 구현, 저장소 내의 의심스러운 활동 검토 등이 포함됩니다.

이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.