샤이-훌루드 (Shai-Hulud) 웜 - npm 공급망을 노린 자가 복제 웜 등장

 

최소 187개의 npm 패키지에서 자가 복제 (웜) 악성코드가 발견되었습니다.

악성코드가 포함된 npm 패키지가 발견되는 경우는 종종 있었지만, 웜 형태로 발견된건 처음입니다.

 

 

얼마전에도 npm 관리자 계정 탈취로 다수 패키지가 오염되었습니다.

 

https://xcoolcat7.tistory.com/91856

npm 관리자 계정 탈취로 다수 패키지 악의적인 코드 포함 - 오픈소스 패키지의 위험성

 

Ongoing npm Software Supply Chain Attack Exposes New Risks (2025.09.17)

https://www.sonatype.com/blog/ongoing-npm-software-supply-chain-attack-exposes-new-risks

Ongoing npm Software Supply Chain Attack Exposes New Risks

 

"Shai-Hulud" Worm Compromises npm Ecosystem in Supply Chain Attack (2025.09.18)

https://unit42.paloaltonetworks.com/npm-supply-chain-attack/

"Shai-Hulud" Worm Compromises npm Ecosystem in Supply Chain Attack (Updated September 23)

 

S1ngularity/nx attackers strike again (2025.09.19)

https://www.aikido.dev/blog/s1ngularity-nx-attackers-strike-again

S1ngularity/nx attackers strike again

 

 

 

웜  

문제는 소프트웨어 공급망에서 자기 복제 능력을 가진 웜이라는 점입니다.

 

감염된 패키지 설치 -> 자격 증명 유출 -> 웜은 피해자 계정으로 "Shai-Hulud"라는 이름의 새로운 공개 GitHub 저장소 생성해 훔친 정보 커밋 -> 도난당한 npm 토큰을 사용해 npm 레지스트리에 감염된 개발자로 인증 -> 해당 개발자가 관리하는 다른 패키지들을 식별해 악성코드 삽입 -> 감염된 새 버전 게시

 

 

관련 기사

 

Self-Replicating Worm Hits 180+ Software Packages (2025.09.16)

https://krebsonsecurity.com/2025/09/self-replicating-worm-hits-180-software-packages/

Self-Replicating Worm Hits 180+ Software Packages – Krebs on Security

 

 

 

Shai-Hulud Supply Chain Attack: Worm Used to Steal Secrets, 180+ NPM Packages Hit (SecurityWeek, 2025.09.17)

https://www.securityweek.com/shai-hulud-supply-chain-attack-worm-used-to-steal-secrets-180-npm-packages-hit/

Shai-Hulud Supply Chain Attack: Worm Used to Steal Secrets, 180+ NPM Packages Hit

 

공격자 

 

자격 증명 수집과 관리자의 기존 게시 권한을 활용하는 자동 배포 메커니즘을 효과적으로 결합하여 생태계 전반에 확산될 수 있습니다.

 

npm 뿐 아니라 패키지 저장소는 자동화 뿐 아니라 보안에 대한 고민을 더 해야겠습니다.