Edgen Crypto·Nov 24 2025, 12:35'샤이-훌루드'라는 이름의 자기 복제 악성 코드 웜이 NPM 레지스트리에 침투하여 500개 이상의 소프트웨어 패키지를 손상시켰으며, 여기에는 암호화폐 애플리케이션에 사용되는 일부 패키지도 포함됩니다. 이 공격은 소프트웨어 개발 전반에 걸쳐 자격 증명 및 디지털 자산 도난의 심각한 위험을 초래합니다.
정교하고 자기 복제적인 공급망 공격으로 인해 세계 최대 소프트웨어 레지스트리인 Node Package Manager (NPM) 생태계의 무결성이 손상되었습니다. 보안 연구원들이 Shai-Hulud라고 명명한 웜은 암호화폐 프로젝트 및 **이더리움 이름 서비스 (ENS)**에 필수적인 라이브러리를 포함하여 500개 이상의 개별 NPM 패키지를 감염시킨 것으로 확인되었습니다. 주요 페이로드는 자격 증명 탈취 악성 코드이며, 이는 개발자와 조직에 심각한 보안 취약점과 직접적인 재정 손실 위협을 초래합니다.
이 공격은 자기 전파 웜 형태로 작동합니다. 초기 진입점은 손상된 NPM 개발자 계정으로 추정되며, 이는 2025년 8월 말 s1ngularity/Nx 침해의 하류 효과로, 초기 GitHub 토큰 도난이 더 광범위한 침해 사슬을 가능하게 했습니다.
이 웜은 자동화된 프로세스를 통해 작동합니다. 개발자 환경을 감염시키면 NPM 및 GitHub 액세스 토큰을 훔칩니다. 그런 다음 이 자격 증명을 사용하여 침해된 유지 관리자가 소유한 다른 모든 패키지에 액세스합니다. 각 패키지에 대해 악성 코드는 패키지 tarball을 검색하고, package.json 파일을 변경하고, 악성 로컬 스크립트(bundle.js)를 삽입하고, 아카이브를 재조립한 다음, 새로 트로이목마화된 버전을 NPM 레지스트리에 다시 게시합니다. 이러한 자동화된 전파를 통해 수백 개의 패키지를 빠르게 감염시킬 수 있었습니다.
Shai-Hulud 웜의 직접적인 재정적 위협은 강력한 정보 탈취 도구로서의 기능에 있습니다. 이 악성 코드는 감염된 개발자 환경에서 민감한 데이터를 스캔하도록 설계되었습니다. 주요 대상은 GitHub 및 NPM과 같은 서비스의 인증 토큰이며, 이는 본질적으로 소프트웨어 저장소 및 배포 채널의 키입니다.
특히 금융 및 Web3 부문에서는 이 악성 코드가 암호화폐 지갑의 개인 키를 찾아서 유출하도록 명시적으로 설계되었다는 점이 중요합니다. 감염된 기계의 개발자가 환경에 지갑 키를 저장했다면, 악성 코드가 이를 훔쳐 공격자가 관련 디지털 자산을 직접 제어할 수 있게 됩니다. 이는 위협을 평판 손상에서 직접적이고 돌이킬 수 없는 재정적 손실로 이동시킵니다.
이 공격은 오픈 소스 및 암호화폐 커뮤니티 전반에 약세 심리를 유발하여 소프트웨어 공급망 보안에 대한 신뢰를 약화시켰습니다. JavaScript 종속성을 위해 NPM에 의존하는 기업의 경우, 이 사건으로 인해 노출을 식별하고 해결하기 위한 즉각적이고 비용이 많이 드는 보안 감사가 필요합니다. 프로덕션 환경에서 @ctrl/tinycolor 또는 CrowdStrike와 관련된 라이브러리와 같은 손상된 패키지의 잠재적 존재는 심각한 보안 취약점과 평판 손상을 초래할 수 있습니다.
암호화폐 생태계에 대한 영향은 특히 심각합니다. ENS 및 기타 암호화폐 기능과 관련된 라이브러리의 손상은 직접적인 위협 벡터를 보여줍니다. 지갑 키의 광범위한 도난 가능성은 영향을 받는 프로젝트와 분산형 애플리케이션의 광범위한 보안에 대한 신뢰를 약화시킬 수 있습니다.
보안 회사들은 이번 공격의 심각성과 메커니즘에 대해 대체로 의견을 같이하고 있습니다. Wiz Research는 이번 캠페인이 "2025년 8월 말 s1ngularity/Nx 침해의 직접적인 하류"라고 평가하며, 초기 GitHub 토큰 도난을 이 대규모 패키지 오염 사건과 연결했습니다. 이 평가는 Palo Alto Networks Unit 42 및 StepSecurity를 포함한 다른 사이버 보안 기관들도 공유하며, 둘 다 웜의 자기 복제 특성을 분석했습니다.
보안 제공업체 Socket은 확산을 적극적으로 추적하고 있으며 개발자가 침해를 식별하는 데 도움이 되는 영향받은 패키지 목록을 게시했습니다. 이러한 기업의 coordinated analysis는 위협의 정교하고 자동화된 특성을 강조하고 데이터 탈취 작업으로서의 주요 기능을 확인시켜 줍니다.
Shai-Hulud 웜은 소프트웨어 공급망 공격의 상당한 확대를 나타냅니다. 이러한 공격이 새로운 것은 아니지만, 웜이 개발자의 전체 패키지 포트폴리오에 걸쳐 자기 전파할 수 있는 능력은 위험한 진화를 보여줍니다. 이는 단일 실패 지점(도난당한 개발자 토큰)을 계단식의 생태계 전체 보안 사고로 전환시킵니다.
이 사건은 현대의 의존성 기반 소프트웨어 개발에 내재된 시스템적 위험을 강조하는 중요한 경고음 역할을 합니다. 이는 액세스 토큰 로테이션, 엄격한 액세스 제어 구현, 외부 소프트웨어 패키지의 무결성을 확인하기 위한 도구 활용과 같은 강력한 보안 관행에 대한 새로운 긴급성을 부여합니다. 이 사건은 미국 사이버 보안 및 인프라 보안국(CISA)을 포함한 정부 기관의 경보를 촉발하여 중요 인프라에 대한 위협의 심각성을 알리고 있습니다.