GN⁺ 5달전 | parent | ★ favorite | on: Shai Hulud가 두 번째 공급망 공격을 개시(aikido.dev)
Hacker News 의견

  • Bubblewrap(bwrap) 을 언급할 만함. 이 도구는 npm/node 환경에서 발생할 수 있는 대부분의 공격 벡터를 제거하거나, 최소한 임의 코드 실행 시 피해를 제한할 수 있음
    완벽한 해결책은 아니지만, 간단한 래퍼 스크립트와 함께 쓰면 rootless Podman 컨테이너보다 훨씬 낫다고 생각함
    Bubblewrap GitHub 링크

  • Python으로 작성된 스크립트를 공유함. 이 스크립트는 내 저장소 중 pnpm이나 npm lock 파일에 손상된 패키지가 포함되어 있는지 확인해줌
    스크립트 링크

  • 처음엔 중복(Dup)으로 보였지만, 실제로는 다른 기사였음
    관련 링크

    • 관련 댓글들을 하나로 병합했다고 설명함. 링크가 다르더라도 토론 주제가 실질적으로 같으면 병합 기준에 부합함. 두 번째 링크에 추가 정보가 있어서 원문 상단에 함께 표시했다고 함
    • 이 기사에는 추가 정보가 꽤 많다고 언급함
    • 같은 링크의 재제출에는 “Dup”, 다른 링크지만 같은 사건에 대한 글에는 “See also”를 쓰라고 제안함
    • 중복이 아니라, 같은 사건을 다루지만 내용이 다른 기사라고 강조함
    • 참고용으로 Shai-Hulud Returns: Over 300 NPM Packages Infected (helixguard.ai)을 함께 제시함

  • 중복 토론은 여기서 진행 중이라고 안내함

  • 제목에 오타가 있다고 지적함. 현재 HN 제목은

    SHA1-Hulud the Second Comming – Postman, Zapier, PostHog All Compromised via NPM
    이지만, 올바른 표기는 Shai-Hulud

    • 하지만 실제로 비밀정보가 업로드된 저장소 이름은 Sha1-Hulud: The Second Coming이라서 혼동이 생긴 듯함
    • 웜 자체가 GitHub에 sha1-hulud라는 이름으로 비밀을 게시하고 있음
      관련 GitHub 검색 링크
    • “coming”의 철자도 m이 하나만 있어야 함이라며, 혹시 의도된 말장난인지 묻는 의견도 있음
    • 다운보트 이유를 모르겠다고 하며, 실제 공격은 SHA1 알고리즘과 관련이 없고, 이름도 그런 패러디 의도는 아님이라고 설명함