SlowMist에 따르면 MistEye는 개발자를 대상으로 하는 크로스 레지스트리 공급망 공격을 탐지했습니다. 공격자들은 npm, PyPI 및 Crates.io를 통해 악성 패키지를 배포했습니다. 이 캠페인에는 34개 이상의 악성 패키지와 384개 이상의 관련 버전이 포함되었으며, 암호화폐, DeFi, 오데일리 (odaily), Sui/Move 및 AI 개발자 커뮤니티를 대상으로 했습니다.
잠재적인 공격 행위에는 암호화된 지갑, SSH 키, 클라우드 자격 증명, GitHub/AWS 토큰, 브라우저 데이터, 환경 변수 및 개발자 키를 탈취하는 것이 포함됩니다. 일부 페이로드는 커서 규칙, CLAUDE.md, Git 훅, 셸 훅, cron, systemd 및 SSH를 통해 지속성을 확보하려고 시도하기도 합니다.
SlowMist는 영향을 받는 패키지를 즉시 제거하고, 영향을 받는 시스템을 격리하고, 로그를 보존하고, 접근 자격 증명을 주기적으로 변경하고, 깨끗한 이미지로 CI 실행기와 개발자 시스템을 재구축하고, GitHub, 클라우드, SSH 및 지갑 활동을 검토할 것을 권장합니다.
