무슨 일이 있었나
SecurityWeek가 2026년 6월 9일에 보도한 바에 따르면, 새로운 Shai-Hulud 변종(6월 1-3일부터 npm을 대상으로 한 Miasma, PyPI를 대상으로 한 Hades/Mini Shai-Hulud)이 두 생태계 전반에 걸쳐 100개 이상의 패키지를 손상시켰습니다. GitHub는 Miasma가 Azure의 durabletask 프로젝트를 다시 손상시킨 후 6월 5일에 73개의 Microsoft 리포지토리(Azure, Azure-Samples, MicrosoftDocs, Microsoft 조직)를 비활성화했습니다. PyPI Hades 변종은 19개 패키지 전반에 걸쳐 37개의 악성 wheel 파일을 독립적으로 손상시켰습니다. 확인된 AI 관련 손상 패키지에는 mistralai Python SDK 및 guardrails-ai가 포함됩니다. 이 캠페인은 npm 토큰 폐지에 의해 트리거되는 파괴적인 자체 삭제/초기화 루틴을 사용하여 실제로 치료를 시도하는 유지보수자에 대한 랜섬웨어로 작용합니다.
왜 중요한가
이는 AI 개발자 공급망에 대한 직접적인 공격입니다: AI SDK 패키지(mistralai, guardrails-ai)가 손상되었고, AI 도구 자격증명이 특별히 대상이 되었으며, 새로운 지속성 메커니즘이 AI 코딩 에이전트(Claude Code SessionStart hooks)의 신뢰 모델을 악용하여 표준 치료를 생존합니다. 도용된 자격증명에는 AWS, GCP, Azure, GitHub, npm, Kubernetes, Vault 토큰 및 AI 서비스 API 키가 포함됩니다. 웜의 유효한 SLSA Build Level 3 출처 사용으로 인해 표준 공급망 증명 검사를 통해 감지하기가 매우 어렵습니다.
공격 경로
자체 복제 공급망 웜은 preinstall/postinstall npm 라이프사이클 훅(및 Miasma 웨이브의 'Phantom Gyp' binding.gyp)을 사용하여 설치 시 Bun 기반 자격증명 스틸러를 실행합니다. 웜은 /proc/{pid}/mem을 스크랩하여 모든 CI/CD 시크릿을 추출하고, AI 도구 토큰을 포함한 100가지 이상의 자격증명 유형을 수집한 후, 손상된 유지보수자가 제어하는 모든 패키지의 독에 든 버전을 재배포합니다. 지속성은 .claude/settings.json에 SessionStart 훅을 주입하고 .vscode/tasks.json에 folderOpen 작업을 주입하여 달성됩니다 — node_modules가 아닌 프로젝트 설정에 있기 때문에 패키지 제거 후에도 유지됩니다.
영향받는 시스템
npm 및 PyPI 패키지 — 확인된 손상 패키지에는 mistralai(2.4.6), guardrails-ai(0.10.1), @tanstack/*(42개 패키지 전반에 걸쳐 84개의 악성 버전), @redhat-cloud-services(32개 패키지, 96개 버전), @vapi-ai/server-sdk 등이 포함됩니다; Claude Code ~/.claude/settings.json 훅 및 개발자 컴퓨터의 VS Code .vscode/tasks.json에서의 지속성
완화 방안
손상된 버전에 대해 모든 npm/PyPI 종속성을 감사합니다; 영향을 받은 CI/CD 워크플로우에 있는 모든 시크릿을 로테이션합니다; AI 코딩 에이전트에서 열기 전에 모든 복제된 리포지토리의 .claude/ 및 .vscode/tasks.json을 감사합니다; 모든 mistralai 2.4.6 및 guardrails-ai 0.10.1 설치를 손상된 것으로 간주합니다; 'IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner' npm 토큰 설명을 확인합니다; 전체 IOC 목록에 대해 StepSecurity, Snyk 및 Sonatype 권고사항을 검토합니다.