무슨 일이 있었나
SecurityWeek가 2026년 6월 9일에 보도한 바에 따르면, 새로운 Shai-Hulud 변종(Miasma, 6월 1-3일부터 npm 표적, 그리고 Hades/Mini Shai-Hulud, PyPI 표적)이 이제 두 생태계 모두에서 100개 이상의 패키지를 손상시켰습니다. GitHub는 Miasma가 Azure의 durabletask 프로젝트를 다시 손상시킨 후 6월 5일에 73개의 Microsoft 저장소(Azure, Azure-Samples, MicrosoftDocs, Microsoft 조직)를 비활성화했습니다. PyPI Hades 변종은 19개 패키지에서 37개의 악성 휠 파일을 독립적으로 손상시켰습니다. 확인된 AI 관련 손상 패키지에는 mistralai Python SDK와 guardrails-ai가 포함됩니다. 캠프레인은 npm 토큰 취소로 트리거되는 파괴적인 자가제거/초기화 루틴을 사용하며, 효과적으로 복구를 시도하는 유지보수자에 대한 랜섬웨어로 작동합니다.
왜 중요한가
이는 AI 개발자 공급망에 대한 직접 공격입니다: AI SDK 패키지(mistralai, guardrails-ai)가 손상되었고, AI 도구 자격증명이 특별히 표적화되었으며, 새로운 지속성 메커니즘은 AI 코딩 에이전트(Claude Code SessionStart 훅)의 신뢰 모델을 악용하여 표준 복구를 견딥니다. 도난된 자격증명에는 AWS, GCP, Azure, GitHub, npm, Kubernetes, Vault 토큰 및 AI 서비스 API 키가 포함됩니다. 웜이 유효한 SLSA Build Level 3 provenance를 사용하므로 표준 공급망 증명 확인을 통해 탐지하기가 극히 어렵습니다.
공격 경로
자가복제 공급망 웜은 preinstall/postinstall npm 생명주기 훅(및 Miasma 웨이브의 'Phantom Gyp' binding.gyp)을 사용하여 설치 시 Bun 기반 자격증명 탈취자를 실행합니다. 웜은 /proc/{pid}/mem을 스크래핑하여 모든 CI/CD 비밀을 추출하고, AI 도구 토큰을 포함한 100개 이상의 자격증명 유형을 수집한 다음, 손상된 유지보수자가 제어하는 모든 패키지의 중독된 버전을 재발행합니다. 지속성은 .claude/settings.json에 SessionStart 훅을 주입하고 .vscode/tasks.json에 folderOpen 작업을 주입하여 달성됩니다 — 이들은 node_modules가 아닌 프로젝트 설정에 있기 때문에 패키지 제거 후에도 생존합니다.
영향받는 시스템
npm 및 PyPI 패키지 — 확인된 손상 패키지에는 mistralai (2.4.6), guardrails-ai (0.10.1), @tanstack/* (42개 패키지에 걸친 84개 악성 버전), @redhat-cloud-services (32개 패키지, 96개 버전), @vapi-ai/server-sdk 등이 포함됩니다; Claude Code ~/.claude/settings.json 훅 및 개발자 머신의 VS Code .vscode/tasks.json에 지속성
완화 방안
손상된 버전에 대해 모든 npm/PyPI 종속성을 감사하고, 영향을 받은 CI/CD 워크플로우에 있는 모든 비밀을 로테이션하고, 임의의 AI 코딩 에이전트에서 열기 전에 모든 클론된 저장소에서 .claude/ 및 .vscode/tasks.json을 감사하고, 모든 mistralai 2.4.6 및 guardrails-ai 0.10.1 설치를 손상된 것으로 간주하고, 'IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner' npm 토큰 설명을 확인하고, 전체 IOC 목록을 위해 StepSecurity, Snyk 및 Sonatype 권고사항을 검토하십시오.