pulse.huny.dev

HunyDev
Shai-Hulud 2.0: The Self-Replicating npm Worm Targeting the Cloud

Shai-Hulud 2.0: The Self-Replicating npm Worm Targeting the Cloud

최근 보안 커뮤니티에서 Shai‑hulud 2.0이라는 npm‑registry 공급망 공격이 단순한 “패키지 오염”을 넘어, 개발자 · 클라우드 환경 전체를 노리는 매우 위험한 악성 웜으로 진화했다.

Hun Jang
Hun Jang Dec 2, 2025

npm 웜 ‘Shai‑hulud 2.0’의 클라우드 침투

최근 보안 커뮤니티에서 Shai‑hulud 2.0이라는 npm‑registry 공급망 공격이 단순한 “패키지 오염”을 넘어, 개발자 · 클라우드 환경 전체를 노리는 매우 위험한 악성 웜으로 진화했다.(Dark Reading)

⚠️ 무엇이 문제인가

  • 본래 “npm”의 오픈소스 패키지에 몰래 숨어들던 악성 코드가, 이번 2.0 버전에서는 자동 self‑replication과 더불어 대규모 클라우드 자격증명 탈취 기능을 갖췄다.(www.trendmicro.com)
  • 대상은 단순 패키지 토큰뿐 아니라, Amazon Web Services(AWS), Google Cloud Platform(GCP), Microsoft Azure 같은 주요 클라우드 서비스의 API 키, secrets, 토큰까지 포함된다.(Dark Reading)
  • 감염되면 개발자가 유지하는 npm 패키지 전체를 “뒷문 포함(Backdoor)” 상태로 다시 배포하며, downstream 의존자를 통해 폭발적으로 퍼진다. 이 과정은 완전 자동화되어 있어 사람이 개입할 필요 없다.(www.trendmicro.com)

📈 심각성 — 규모와 파급력

  • 최근 조사에서는 약 796개의 npm 패키지, 주간 다운로드 수 백만 단위의 패키지들에 악성 페이로드가 삽입된 것으로 확인됨.(Datadog Security Labs)
  • 감염된 패키지를 사용한 downstream 리포지토리만 해도 수만 개, 감염된 GitHub 리포지토리 수는 최소 수만 건으로 파악됨.(wiz.io)
  • 또한 이 변종은 “자격증명 탈취 → 클라우드 서비스 접근 → 비밀(secret) 서비스 접근”이라는 고난이도 연쇄 공격도 가능하다.(www.trendmicro.com)

🧩 공격 체인 & 방식 — 왜 이전보다 위험한가

  • 감염은 개발자의 npm 계정 탈취 → 정상 패키지에 preinstall 스크립트 삽입 → 패키지 재배포 → downstream 설치 시 자동 실행으로 이뤄진다.(Datadog Security Labs)
  • 설치 시 악성코드는 환경 변수, AWS/GCP/Azure credential 파일, .npmrc, GitHub 토큰, CI/CD 비밀변수 등을 샅샅이 뒤져 탈취한다.(Netskope)
  • 탈취한 자격증명으로 클라우드 비밀관리 서비스(예: AWS Secrets Manager, GCP Secret Manager, Azure Key Vault 등)에 접근해 추가 민감정보까지 뽑아간다.(www.trendmicro.com)
  • 만일 탈취 또는 exfiltration(데이터 유출)에 실패하면, 웜은 피해자의 홈 디렉토리를 통째로 삭제하려는 “파괴(wiper)” 기능을 가졌다.(Datadog Security Labs)

🔎 대응 & 방어 — 당장 바꿔야 할 것들

  • CI/CD 환경에서는 preinstall/postinstall 스크립트 사용을 꺼두고, 새 패키지 버전을 자동 업데이트하지 않는 것이 우선.(wiz.io)
  • npm 토큰, GitHub Personal Access Token, 클라우드 API 키 등 모두 즉시 교체하고, 가능한 경우 권한을 최소화(short‑lived, scoped tokens) 해야 한다.(Zscaler)
  • 내부 패키지 프록시(registry proxy), SCA (Software Composition Analysis) 도구, 내부 거울 저장소(private registry) 활용도 적극 검토할 필요 있다.(Zscaler)

관련 뉴스 보기

Shai-hulud 2.0 Variant Threatens Cloud Ecosystem
The latest attack from the self-replicating npm-package poisoning worm can also steal credentials and secrets from AWS, Google Cloud Platform, and Azure.
icon

https://www.darkreading.com/cyberattacks-data-breaches/shai-hulud-variant-cloud-ecosystem?utm_source=chatgpt.com

unit42.paloaltonetworks.com

https://unit42.paloaltonetworks.com/npm-supply-chain-attack/?utm_source=chatgpt.com

www.itpro.com

https://www.itpro.com/security/cyber-attacks/shai-hulud-malware-is-back-with-a-vengeance-and-hit-more-than-19-000-github-repositories-so-far-heres-what-developers-need-to-know?utm_source=chatgpt.com

You might also like

BlogPro logo
Made with BlogPro