사이버 보안 업체 슬로우미스트(SlowMist)가 새로운 경고를 발표했습니다. 3.0 버전으로 명명된 샤이훌루드(Shai-Hulud) 공급망 공격이 다시 나타난 것을 감지한 것입니다. 슬로우미스트의 최고 정보 보안 책임자(CISO)인 23pds는 웹3 팀과 플랫폼에 즉각적인 방어 강화 조치를 촉구했습니다. 경고에 따르면, 최신 변종은 현대 소프트웨어 개발에서 널리 사용되는 패키지 관리자인 NPM 생태계를 표적으로 삼고 있습니다.
이러한 유형의 공급망 공격은 악성 코드가 신뢰할 수 있는 오픈 소스 라이브러리를 통해 확산되도록 합니다. 개발자들이 이를 인지하지 못하는 경우가 많습니다. 결과적으로 작은 감염이라도 여러 프로젝트에 걸쳐 빠르게 확산될 수 있습니다. SlowMist는 과거 Trust Wallet과 관련된 API 키 유출 사건을 포함한 이전 사례들을 언급했는데, 이는 Shai-Hulud의 초기 버전에서 비롯되었을 가능성이 있습니다. 이 악성코드의 재등장은 공격자들이 검증된 기법을 정교하게 다듬어 다시 배포하고 있다는 우려를 불러일으킵니다.
Shai-Hulud 3.0의 차별점은 무엇일까요?
보안 연구원들은 샤이훌루드 3.0이 이전 버전과 비교했을 때 명확한 기술적 변화를 보인다고 밝혔습니다. 독립 연구원들의 분석에 따르면, 이 악성코드는 이제 다른 파일 이름을 사용하고, 페이로드 구조를 변경했으며, 운영 체제 간 호환성을 개선했습니다. 또한, 새로운 변종은 특정 조건에서 악성코드를 비활성화하는 기능인 "데드맨 스위치"를 제거한 것으로 알려졌습니다. 이 기능의 제거는 위험을 일부 줄여주지만, 공격자들이 탐지를 피하기 위해 실행 방식을 단순화하고 있음을 시사하기도 합니다.
⚠️
— 23pds (山哥) (@im23pds) 2025년 12월 29일
NPM 供应链攻击 Shai-Hulud 3.0 再次来袭请各项目方和平台注意防范!
此前怀疑 @TrustWallet API 키는 Shai-Hulud 2.0 攻击导致的结果입니다.
cc @evilcos @Foresight_News @wublockchain12 https://t.co/mfLw43X035
연구원들은 또한 해당 악성코드가 원본 소스 코드를 직접 복사한 것이 아니라 난독화한 것으로 보인다는 점을 발견했습니다. 이러한 특징은 이전 공격 자료에 접근했음을 시사하며, 더욱 정교한 공격자가 개입했음을 나타냅니다. 초기 조사 결과에 따르면 현재까지 확산 범위가 제한적인 것으로 보아 공격자들이 여전히 악성코드를 테스트하고 있을 가능성이 있습니다.
연구원들이 활성 NPM 패키지를 조사합니다
독립 보안 연구원 찰리 에릭슨은 자신의 팀이 새로운 변종 악성코드를 적극적으로 조사하고 있다고 확인했습니다. 공개된 정보에 따르면, 이 악성코드는 특정 NPM 패키지 내에서 발견되었으며, 이로 인해 관련 종속성에 대한 심층적인 검토가 이루어졌습니다. 조사 결과, 이 악성코드는 환경 변수, 클라우드 자격 증명 및 비밀 파일을 추출한 후 공격자가 제어하는 저장소에 업로드하는 것으로 나타났습니다. 이러한 기법은 이전 샤이훌루드(Shai-Hulud) 공격과 유사하지만, 더욱 정교한 실행 순서와 오류 처리 방식을 사용하고 있습니다. 현재 연구원들은 대규모 침해의 증거는 없다고 밝혔지만, 공급망 공격은 공격자가 안정성을 확인한 후 빠르게 확산되는 경향이 있다고 경고했습니다.
업계, 의존성 확보 강화 촉구
SlowMist는 프로젝트 팀에게 종속성 감사, 패키지 버전 잠금, 비정상적인 네트워크 동작 모니터링을 권고했습니다. 개발자 또한 빌드 파이프라인을 검토하고 민감한 자격 증명에 대한 접근을 제한할 것을 권장했습니다. 이 회사는 공급망 위협이 Web3 및 오픈 소스 소프트웨어에서 가장 과소평가되는 위험 중 하나라고 강조했습니다. 보안이 철저한 플랫폼조차도 타사 라이브러리를 통해 노출될 수 있습니다. 조사가 진행 중인 가운데, 보안 전문가들은 공황에 빠지기보다는 신중을 기할 것을 권고합니다. 그러나 그들은 Shai-Hulud 3.0 사태가 소프트웨어 공급망이 여전히 매우 중요한 공격 대상임을 상기시켜 준다는 데 동의합니다.
