[출처=픽사베이]
[출처=픽사베이]

[전국뉴스=이화진 기자] 글로벌 보안 기업들이 자바스크립트 생태계의 핵심 인프라인 NPM 레지스트리를 겨냥한 대규모 공급망 공격이 다시 발생했다며 경고음을 울리고 있다. 이번 공격은 지난해 공개된 ‘Shai-Hulud’ 캠페인을 연상시키는 방식으로 전개되고 있으며, 여러 보안 업체는 이를 ‘Sha1-Hulud: Second Coming(두 번째 강림)’이라 명명했다.

아키도(Aikido), 헬릭가드(Helicgarde), 코이 시큐리티(Koi Security), 소켓(Socket), 스텝 시큐리티(Step Security), 위즈(Wiz) 등은 이번 캠페인으로 인해 수백 개의 NPM 패키지가 유출되고 트로이마화되었다고 보고했다. 악성 패키지는 2025년 11월 21일부터 23일 사이 대거 업로드된 것으로 확인됐다.

위즈 연구진에 따르면, 이번 공격은 기존 공격 방식보다 한 단계 진화했다. 공격자는 정상 패키지에 사전 설치(preinstall) 스크립트를 삽입해 빌드 단계에서 즉시 악성 스크립트를 실행할 수 있도록 구성했다.

문제가 된 스크립트는 package.json에 추가된 setup_bun.js로, Bun 런타임을 몰래 설치하거나 탐지한 뒤 내부에 포함된 bun_environment.js 악성 페이로드를 실행한다.

위즈는 “영향받은 저장소가 이미 25,000개 이상이며, 최근 수 시간 동안 30분마다 1,000개씩 새로운 감염 저장소가 추가되는 추세”라고 밝혔다.

보안 업체 Koi Security는 이번 공격이 전례보다 훨씬 더 공격적이라고 경고했다. 악성코드는 만약 자격 증명 탈취나 지속성 확보에 실패할 경우, 피해자의 홈 디렉터리를 통째로 삭제**하는 와이퍼(wiper) 기능을 발동시킨다.

연구원 Yuval Ronen과 Idan Dardikman은 “첫 번째 샤이-훌루드가 주로 비밀 탈취에 집중했다면, 이번 두 번째 물결은 데이터 파괴를 동반한 징벌적 사보타주로 전술이 급격히 격상됐다”고 평가했다.

또한 악성코드는 Docker 명령을 이용해 컨테이너에 호스트의 루트 파일시스템을 마운트한 뒤, 악성 sudoers 파일을 주입해 공격자에게 비밀번호 없는 루트 권한을 부여하는 기능도 수행하는 것으로 확인됐다.

위즈는 “이번 공격은 Shai-Hulud 명칭과 기법을 사용하지만, 다른 행위자일 가능성도 존재한다”며 “공격자는 침해된 유지보수자 계정을 활용해 완전히 정상으로 보이는 패키지에 악성 설치 코드를 주입하고 있다”고 분석했다.

저작권자 © 전국뉴스 무단전재 및 재배포 금지