기술 설명
TeamPCP 위협 그룹이 2026년 5월 11일 170개 이상의 npm 및 PyPI 패키지를 손상시키는 자기증식형 자격증명 탈취 웜('Mini Shai-Hulud')을 배포했습니다. 영향을 받는 생태계: (1) TanStack (주당 1천2백만 이상의 다운로드를 기록한 React Router 포함 42개 패키지), (2) UiPath (65개 패키지), (3) Mistral AI SDK (npm 및 PyPI), (4) Guardrails AI (PyPI), (5) OpenSearch JavaScript 클라이언트, (6) Squawk 패키지 (87개 네임스페이스). 악성코드는 GitHub Actions 워크플로우 취약점 (pull_request_target 남용)을 통해 전파되었으며, OIDC 토큰 스크래핑을 사용하여 이중인증을 우회했고, 개발자 도구 구성 파일 (.vscode, .claude)에 자신을 내장했습니다.
공격 경로
CI/CD 파이프라인 하이재킹을 통한 공급망 손상: (1) 공격자들이 과도하게 허용적인 pull_request_target GitHub Actions 워크플로우를 악용, (2) npm 게시를 위해 단기 OIDC 토큰을 도용, (3) 패키지 코드에 악성코드를 삽입, (4) 자격증명을 탈취하고 다운스트림 프로젝트에 게시함으로써 자기증식, (5) 개발자 도구 구성 파일 (.vscode, .claude 폴더)을 통해 지속성 확보, (6) 탐지를 피하기 위해 익명 메시징 앱 (Session)을 통해 자격증명을 유출.
영향받는 시스템
주로 JavaScript/Node.js 및 Python 개발 생태계에 영향을 미치며, React (TanStack Router를 통해), UiPath RPA, Mistral AI 통합, Guardrails AI 모델 모니터링을 사용하는 다운스트림 엔터프라이즈에 영향을 줍니다. 예상 영향: 수십만 명의 개발자; 개발자들은 모든 연결된 자격증명 (AWS, Google Cloud, GitHub, Kubernetes, HashiCorp Vault)을 취소할 것이 권장됩니다.
완화 방안
즉각적: (1) 5월 11일에 영향을 받은 패키지를 다운로드한 개발자가 터치한 모든 npm 및 GitHub 토큰, AWS/GCP 자격증명, Kubernetes 서비스 어카운트, SSH 키를 취소, (2) 권한 없는 항목에 대해 .vscode 및 .claude 구성 파일을 감사, (3) 손상된 버전에 대해 package-lock.json 및 requirements.txt 파일을 스캔, (4) pull_request_target 워크플로우에 대한 승인 요구 사항을 활성화, (5) 최소 범위의 단기 OIDC 토큰을 강제. 중기: (1) Software Bill of Materials (SBOM) 스캔 및 서명된 아티팩트 도입, (2) 패키지 출처 기능 (예: npm provenance)을 사용하여 게시자 신원 검증, (3) 저장소 수준의 액세스 제어 및 종속성 고정 구현, (4) 악성코드가 토큰을 취소하면 홈 디렉토리를 삭제하겠다는 위협을 포함하는 데드맨 스위치를 포함하고 있으므로 강탈 위협 모니터링.