Mini Shai-Hulud의 귀환: npm 생태계를 강타한 자가 전파형 공급망 공격 (5/11)
(stepsecurity.io)개요
Mini Shai-Hulud 웜이 CI/CD 파이프라인을 탈취하고 개발자의 시크릿(비밀 정보)을 훔치는 방식으로 정상적인 npm 패키지들을 활발하게 감염시키고 있는 사건입니다. StepSecurity의 OSS Package Security Feed가 공식 @tanstack 패키지에서 이 공격을 처음 탐지하고 생태계 전반의 확산을 실시간 추적 중입니다.
발생 시점 및 규모
2026년 5월 11일 약 19:20 UTC경, 공식 @tanstack/* 패키지의 악성 버전 10개가 6분 이내에 npm 레지스트리에 게시되었습니다. 해당 패키지들은 수십만 개의 React 프로젝트에서 사용되는 TanStack Router 프레임워크의 핵심 구성요소입니다.
악성 페이로드
2.3MB 크기의 난독화된 자격증명 탈취 페이로드가 주입되어 GitHub 토큰, npm 토큰, CI/CD 시크릿을 수집하도록 설계되어 있었습니다.
핵심 위협 — 자가 전파 메커니즘
Shai-Hulud 웜은 저장소에 직접 침입할 필요가 없으며, 정상적인 빌드 프로세스에 올라타 사용자의 토큰을 이용해 스스로를 확산시킵니다. 즉, SLSA provenance, OIDC 기반 게시, 신뢰할 수 있는 CI/CD 파이프라인을 갖춘 패키지조차 무기화될 수 있다는 점이 이 공격의 핵심 시사점입니다.
연쇄 감염 위험
npm 생태계의 상호 연결된 구조는 이상적인 전파 매개체이며, 단일 토큰이 침해되면 수 분 내에 수십 개 패키지로 연쇄 감염될 수 있습니다 — 이번 사례에서도 6분 이내에 5개 패키지에 걸쳐 10개의 악성 버전이 배포되었습니다.