기술 설명
TeamPCP 위협 그룹이 2026년 5월 11일 npm 및 PyPI 패키지 170개 이상을 손상시키는 자체 확산형 자격증명 탈취 웜('Mini Shai-Hulud')을 배포했습니다. 영향을 받는 생태계: (1) TanStack (42개 패키지, React Router 포함, 주간 다운로드 1,200만+), (2) UiPath (65개 패키지), (3) Mistral AI SDK (npm 및 PyPI), (4) Guardrails AI (PyPI), (5) OpenSearch JavaScript 클라이언트, (6) Squawk 패키지 (87개 네임스페이스). 악성코드는 GitHub Actions 워크플로우 악용 (pull_request_target 남용)을 통해 전파되었으며, OIDC 토큰 스크래핑을 사용하여 이중 인증을 우회하고, 개발자 도구 구성 파일 (.vscode, .claude)에 자체 포함되었습니다.
공격 경로
CI/CD 파이프라인 하이재킹을 통한 공급망 손상: (1) 공격자들이 과도하게 허용적인 pull_request_target GitHub Actions 워크플로우를 악용, (2) npm 게시를 위해 수명이 짧은 OIDC 토큰 탈취, (3) 패키지 코드에 악성코드 주입, (4) 자격증명을 탈취하고 다운스트림 프로젝트에 게시하여 자체 전파, (5) 개발자 도구 구성 파일 (.vscode, .claude 폴더)을 통해 지속, (6) 탐지 회피를 위해 익명 메시징 앱 (Session)을 통해 자격증명 유출.
영향받는 시스템
주로 JavaScript/Node.js 및 Python 개발 생태계 영향; React (TanStack Router 경유), UiPath RPA, Mistral AI 통합, Guardrails AI 모델 모니터링을 사용하는 다운스트림 기업 영향. 예상 영향: 수십만 명의 개발자; 개발자들은 모든 연결된 자격증명 (AWS, Google Cloud, GitHub, Kubernetes, HashiCorp Vault) 취소를 권장받습니다.
완화 방안
긴급: (1) 5월 11일에 영향을 받은 패키지를 다운로드한 개발자가 터치한 모든 npm 및 GitHub 토큰, AWS/GCP 자격증명, Kubernetes 서비스 계정, SSH 키 취소, (2) .vscode 및 .claude 구성 파일을 승인되지 않은 항목에 대해 감시, (3) package-lock.json 및 requirements.txt 파일에서 손상된 버전 스캔, (4) pull_request_target 워크플로우에 대한 승인 필요 활성화, (5) 최소 범위로 수명이 짧은 OIDC 토큰 적용. 중기: (1) Software Bill of Materials (SBOM) 스캔 및 서명된 아티팩트 채택, (2) 패키지 출처 기능 (예: npm provenance) 사용하여 게시자 신원 확인, (3) 저장소 수준 접근 제어 및 종속성 고정 구현, (4) 갈취 위협 모니터링 (악성코드는 피해자가 토큰을 취소하면 홈 디렉토리를 삭제하겠다고 위협하는 데드맨 스위치 포함).