19일 오전, 1시간 17분간 파상 공세... 323개 패키지 통해 639개 악성 버전 유포
배포 토큰 훔쳐 다른 정상 오픈소스까지 강제 재배포하는 자가 증식 ‘웜’ 방식 동원
“비인간 신원(NHI)의 구조적 취약점이 최악의 형태로 폭발한 사례”
[보안뉴스 조재호 기자] 국내 프론트엔드 개발 환경에서 널리 쓰이는 시각화 오픈소스 패키지 300여 개가 동시에 악성코드에 오염되면서 국내 IT 기업들의 보안에 비상이 걸렸다. 지난주 발견된 ‘미니 샤이-훌루드’ 툴킷을 기반으로 한 이번 공격은 개발자들이 사용하는 AI 코딩 에이전트의 설정 파일을 변조해 감염하는 방식을 취했다.
[출처: 생성형 AI 활용 이미지]
한국 시각 기준 2026년 5월 19일 오전 10시 39분부터 오전 11시 56분까지 약 1시간 17분 동안 323개 패키지에 걸쳐 총 639개의 악성 버전이 글로벌 npm 레지스트리에 무차별 유포됐다.
공격자는 공인 개발자 ‘에이툴’(atool)의 npm 계정을 탈취해 코드를 무기화했다. 감염 대상에는 월 다운로드 420만 건에 달하는 사이즈 센서(size-sensor)를 비롯해 이차트(echarts-for-react), 앤트비 스케일(@antv/scale) 등 국내 프론트엔드 개발 환경에서 널리 쓰이는 시각화 도구들이 대거 포함됐다. 때문에 버전 관리 규정을 느슨하게 둔 프로젝트라면, 일상적인 개발 환경 구축(Clean Install) 과정만으로도 무방비하게 악성 버전이 유입될 수 있다.
임포스터 커밋(위장 등록)과 ‘자가 증식 웜’ 메커니즘의 출현
이번 공격에 쓰인 ‘미니 샤이-훌루드(Mini Shai-Hulud)’ 툴킷은 개발자가 패키지를 내려받는 즉시 악성코드가 실행되도록 설계됐다. 공격자는 원본 저장소를 복사한 뒤, 정식 코드 목록에는 보이지 않는 ‘고아 커밋’(Orphan Commit)을 생성해 공식 파일인 것처럼 완벽히 위장하는 ‘임포스터 커밋’(Imposter Commit) 기법을 사용했다.
이번 공격의 심각성은 악성코드가 ‘웜(Worm)’ 형태로 자가 증식했다는 점이다. 개발자 PC에 감염되는 순간 내부 파일에서 ‘npm 배포 토큰’을 가로채고, 해당 개발자가 관리하는 다른 정상 패키지들까지 찾아내 악성코드를 심어 강제로 재배포(Republish)했다. 해커 계정뿐 아니라 수많은 정상 개발자 명의로 악성 패키지가 도미노처럼 퍼져나간 이유다. 이렇게 탈취한 권한으로 해커는 AWS·쿠버네티스 등 클라우드 핵심 인프라 자격증명부터 1패스워드 같은 로컬 비밀번호 관리자까지 전방위로 수집했다.
AI 에이전트 장악과 서명 시스템을 속인 ‘신원 세탁’
이 공격은 최신 도구인 인공지능(AI) 코딩 에이전트를 영구적인 공격 표면으로 삼았다. 개발자가 프로젝트 폴더를 열기만 해도 악성코드가 실행되며 PC 내의 다른 프로젝트까지 연쇄 오염시키도록 유도했다.
아울러 기존 방어 체계를 무력화하는 교묘한 ‘신원 세탁’ 수법도 동원됐다. 공격자는 탈취한 깃허브 토큰을 공식 npm 배포 토큰으로 교환해 합법적인 발행자로 위장했다. 이 때문에 소프트웨어의 정품 인증서 서명 체계까지 무사히 통과하며, 정적 분석 도구들이 이를 ‘안전한 정상 파일’로 오인하게 만드는 맹점을 찔렀다.
명령 서버가 없다... 깃허브 검색창을 악용한 ‘데드드롭’ 원격 제어
정보 유출과 명령 하달 방식도 사내 보안 장비의 눈을 피했다. 탈취된 자격 증명은 시스템 관측 데이터(OpenTelemetry)로 위장한 가짜 엔드포인트(t[.]m-kosche[.]com/api/public/otel/v1/traces)를 통해 암호화되어 전송됐다. 또한 추적을 피하기 위해 깃허브 내에 수많은 위장 저장소를 자동 생성하는 치밀함을 보였다.
핵심 기법은 깃허브 검색창을 비밀 정보함으로 악용한 ‘데드드롭’(Dead drop) 기법이다. 공격자는 역추적이 쉬운 자체 명령 제어(C2) 서버를 구축하는 대신, 백그라운드 프로그램을 통해 깃허브 검색 API를 주기적으로 탐색했다. 해커가 깃허브 어디든 특정 키워드와 함께 코드를 올리면, 전 세계의 감염된 컴퓨터들이 이를 검색해 스스로 명령을 수행하는 구조다.
오픈소스 신뢰의 붕괴, ‘비인간 신원’(NHI) 거버넌스 확립 시급해
기계 간 인증과 권한 교환(NHI)은 이제 소프트웨어 생태계 전체의 신뢰 문제로 직결된다. 사태를 분석한 김동현 크리밋 대표는 “이번 사건은 단순 계정 도용이 아닌 자동화된 웜(Worm) 스크립트의 소행”이라며 “관리하는 정상 패키지가 많을수록 도미노처럼 감염을 증폭시키는 위험 지표로 전락했다”고 말했다.
무엇보다 기계가 사용하는 토큰의 취약한 보안성이 도마 위에 올랐다. 그는 “오픈소스 배포 토큰은 만료일도 없고 다중 인증(MFA)도 불가능해 한 번 털리면 조직 전체의 배포 권한이 일시에 장악된다”며 “비인간 신원(NHI)의 구조적 취약점이 최악의 형태로 폭발한 사례”라고 설명했다.
합법적으로 서명을 통과하는 공격 앞에서는 단순히 락파일을 고정하는 1차 방어선만으로는 역부족이다. 김 대표는 “단일 패키지의 악성 여부를 넘어, 단시간에 수십 개 패키지의 발행자가 동시에 바뀌는 이상 군집(Cluster) 패턴을 추적해야 한다”며 패키지 발행 직후 안전성을 감시하는 쿨다운(Cooldown) 정책과 파이프라인 전반을 통제하는 독립적인 NHI 라이프사이클 거버넌스 확립을 강조했다.
이에 따라 보안 전문가들이 권고하는 3대 즉각 조치는 다음과 같다.
△ 5월 19일 전후 발행된 패키지 잠금 파일(package-lock.json 등) 면밀 검토
△ 빌드 인프라에서 노출된 클라우드 토큰 및 API 자격증명 전면 폐기 및 재발급(Rotation)
△ 로컬 AI 에이전트 및 IDE 설정 파일 내 숨겨진 악성 스크립트 훅 전수 점검
[조재호 기자(zephyr@boannews.com)]
배포 토큰 훔쳐 다른 정상 오픈소스까지 강제 재배포하는 자가 증식 ‘웜’ 방식 동원
“비인간 신원(NHI)의 구조적 취약점이 최악의 형태로 폭발한 사례”
[보안뉴스 조재호 기자] 국내 프론트엔드 개발 환경에서 널리 쓰이는 시각화 오픈소스 패키지 300여 개가 동시에 악성코드에 오염되면서 국내 IT 기업들의 보안에 비상이 걸렸다. 지난주 발견된 ‘미니 샤이-훌루드’ 툴킷을 기반으로 한 이번 공격은 개발자들이 사용하는 AI 코딩 에이전트의 설정 파일을 변조해 감염하는 방식을 취했다.
[출처: 생성형 AI 활용 이미지]
한국 시각 기준 2026년 5월 19일 오전 10시 39분부터 오전 11시 56분까지 약 1시간 17분 동안 323개 패키지에 걸쳐 총 639개의 악성 버전이 글로벌 npm 레지스트리에 무차별 유포됐다.
공격자는 공인 개발자 ‘에이툴’(atool)의 npm 계정을 탈취해 코드를 무기화했다. 감염 대상에는 월 다운로드 420만 건에 달하는 사이즈 센서(size-sensor)를 비롯해 이차트(echarts-for-react), 앤트비 스케일(@antv/scale) 등 국내 프론트엔드 개발 환경에서 널리 쓰이는 시각화 도구들이 대거 포함됐다. 때문에 버전 관리 규정을 느슨하게 둔 프로젝트라면, 일상적인 개발 환경 구축(Clean Install) 과정만으로도 무방비하게 악성 버전이 유입될 수 있다.
임포스터 커밋(위장 등록)과 ‘자가 증식 웜’ 메커니즘의 출현
이번 공격에 쓰인 ‘미니 샤이-훌루드(Mini Shai-Hulud)’ 툴킷은 개발자가 패키지를 내려받는 즉시 악성코드가 실행되도록 설계됐다. 공격자는 원본 저장소를 복사한 뒤, 정식 코드 목록에는 보이지 않는 ‘고아 커밋’(Orphan Commit)을 생성해 공식 파일인 것처럼 완벽히 위장하는 ‘임포스터 커밋’(Imposter Commit) 기법을 사용했다.
이번 공격의 심각성은 악성코드가 ‘웜(Worm)’ 형태로 자가 증식했다는 점이다. 개발자 PC에 감염되는 순간 내부 파일에서 ‘npm 배포 토큰’을 가로채고, 해당 개발자가 관리하는 다른 정상 패키지들까지 찾아내 악성코드를 심어 강제로 재배포(Republish)했다. 해커 계정뿐 아니라 수많은 정상 개발자 명의로 악성 패키지가 도미노처럼 퍼져나간 이유다. 이렇게 탈취한 권한으로 해커는 AWS·쿠버네티스 등 클라우드 핵심 인프라 자격증명부터 1패스워드 같은 로컬 비밀번호 관리자까지 전방위로 수집했다.
AI 에이전트 장악과 서명 시스템을 속인 ‘신원 세탁’
이 공격은 최신 도구인 인공지능(AI) 코딩 에이전트를 영구적인 공격 표면으로 삼았다. 개발자가 프로젝트 폴더를 열기만 해도 악성코드가 실행되며 PC 내의 다른 프로젝트까지 연쇄 오염시키도록 유도했다.
아울러 기존 방어 체계를 무력화하는 교묘한 ‘신원 세탁’ 수법도 동원됐다. 공격자는 탈취한 깃허브 토큰을 공식 npm 배포 토큰으로 교환해 합법적인 발행자로 위장했다. 이 때문에 소프트웨어의 정품 인증서 서명 체계까지 무사히 통과하며, 정적 분석 도구들이 이를 ‘안전한 정상 파일’로 오인하게 만드는 맹점을 찔렀다.
명령 서버가 없다... 깃허브 검색창을 악용한 ‘데드드롭’ 원격 제어
정보 유출과 명령 하달 방식도 사내 보안 장비의 눈을 피했다. 탈취된 자격 증명은 시스템 관측 데이터(OpenTelemetry)로 위장한 가짜 엔드포인트(t[.]m-kosche[.]com/api/public/otel/v1/traces)를 통해 암호화되어 전송됐다. 또한 추적을 피하기 위해 깃허브 내에 수많은 위장 저장소를 자동 생성하는 치밀함을 보였다.
핵심 기법은 깃허브 검색창을 비밀 정보함으로 악용한 ‘데드드롭’(Dead drop) 기법이다. 공격자는 역추적이 쉬운 자체 명령 제어(C2) 서버를 구축하는 대신, 백그라운드 프로그램을 통해 깃허브 검색 API를 주기적으로 탐색했다. 해커가 깃허브 어디든 특정 키워드와 함께 코드를 올리면, 전 세계의 감염된 컴퓨터들이 이를 검색해 스스로 명령을 수행하는 구조다.
오픈소스 신뢰의 붕괴, ‘비인간 신원’(NHI) 거버넌스 확립 시급해
기계 간 인증과 권한 교환(NHI)은 이제 소프트웨어 생태계 전체의 신뢰 문제로 직결된다. 사태를 분석한 김동현 크리밋 대표는 “이번 사건은 단순 계정 도용이 아닌 자동화된 웜(Worm) 스크립트의 소행”이라며 “관리하는 정상 패키지가 많을수록 도미노처럼 감염을 증폭시키는 위험 지표로 전락했다”고 말했다.
무엇보다 기계가 사용하는 토큰의 취약한 보안성이 도마 위에 올랐다. 그는 “오픈소스 배포 토큰은 만료일도 없고 다중 인증(MFA)도 불가능해 한 번 털리면 조직 전체의 배포 권한이 일시에 장악된다”며 “비인간 신원(NHI)의 구조적 취약점이 최악의 형태로 폭발한 사례”라고 설명했다.
합법적으로 서명을 통과하는 공격 앞에서는 단순히 락파일을 고정하는 1차 방어선만으로는 역부족이다. 김 대표는 “단일 패키지의 악성 여부를 넘어, 단시간에 수십 개 패키지의 발행자가 동시에 바뀌는 이상 군집(Cluster) 패턴을 추적해야 한다”며 패키지 발행 직후 안전성을 감시하는 쿨다운(Cooldown) 정책과 파이프라인 전반을 통제하는 독립적인 NHI 라이프사이클 거버넌스 확립을 강조했다.
이에 따라 보안 전문가들이 권고하는 3대 즉각 조치는 다음과 같다.
△ 5월 19일 전후 발행된 패키지 잠금 파일(package-lock.json 등) 면밀 검토
△ 빌드 인프라에서 노출된 클라우드 토큰 및 API 자격증명 전면 폐기 및 재발급(Rotation)
△ 로컬 AI 에이전트 및 IDE 설정 파일 내 숨겨진 악성 스크립트 훅 전수 점검
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
