무슨 일이 있었나
Socket Threat Research(2026년 6월 16일 발행)가 npm 패키지 shai_hulululud@1.0.48596을 분석했고, LLM 기반 스캐너를 조작하기 위해 재래식 페이로드를 실행하기보다는 AI 보조 악성코드 스캐너를 회피하도록 목적 구축되었음을 발견했습니다. 패키지는 다음을 포함하는 큰 index.js를 배송합니다: (1) LLM 기반 스캐너를 조작하기 위해 소스 코드 주석에 포함된 정책 트리거 프롬프트 콘텐츠 및 가짜 시스템 오버라이드 명령, (2) 스캐너의 컨텍스트 윈도우를 플러드하고 토큰 예산을 소진하기 위한 수만 개의 반복된 주석 라인, (3) 파일 끝에 추가된 대량 난독화된 JavaScript입니다. Socket는 패키지를 항의 소프트웨어 또는 대적 테스트 케이스로 평가했으며, 진정한 악성 페이로드를 AI 기반 보안 검토 파이프라인에서 숨기기 위해 더 유능한 위협 주체에 의해 직접 채택 가능함을 명시적으로 경고했습니다.
왜 중요한가
이는 탐지 메커니즘이 아닌 대상으로서 AI 기반 악성코드 스캐너를 공격하도록 명시적으로 설계된 첫 공개 문서 npm 패키지입니다. AI 보조 코드 검토 및 공급망 스캔이 표준(GitHub Copilot, Socket, Snyk 및 유사 도구에 통합)이 되어감에 따라, 스캐너 회피를 마스터한 적대자는 자동화된 AI 검토를 통과하는 악성 패키지를 전달할 수 있습니다. 이 기법은 이전에 AI/ML 개발자를 대상으로 하는 자격 증명 탈취 악성코드를 전달한 광범위한 Shai-Hulud/Miasma/Hades 캠페인 계열과 직접 관련됩니다.
공격 경로
공격자가 npm 패키지에 프롬프트 인젝션 명령 및 컨텍스트 플러딩 주석을 소스 코드에 포함하여 LLM 기반 스캐너를 조작하거나 중립화하고, 난독화된 악성 JavaScript가 자동화된 AI 보안 검토를 미탐지로 통과하도록 합니다.
영향받는 시스템
코드 검토를 위해 LLM을 사용하는 AI 기반 악성코드 스캐너/공급망 보안 도구 (Socket, GitHub Copilot 보안 기능, Snyk AI 검토 등); AI 보조 검토가 신뢰되는 모든 npm 패키지 생태계
완화 방안
npm 패키지 심사를 위해 AI 보조 스캔에만 의존하지 마십시오; 정적 AST 분석 및 행동 샌드박싱과 결합합니다. Socket은 패키지를 플래그 지정하고 차단했습니다. Socket 블로그 참조: https://socket.dev/blog/npm-package-uses-prompt-injection-and-token-flooding-to-disrupt-ai-malware-scanners