무슨 일이 있었나
Shai-Hulud/Miasma 공급망 캠페인의 Hades 파동(UNC6780/TeamPCP에 귀속)은 2026년 6월 8일 26개 이상의 PyPI 패키지를 감염시켰으며, 특히 AI/ML 및 생물정보학 도구를 목표로 했습니다. 이 캠페인은 LLM 스캐너 회피(AI 기반 분류 도구를 목표로 하는 페이로드의 프롬프트 주입)와 자격증명 삭제 억제제(도난당한 자격증명이 회전될 경우 파괴적 조치를 위협하는 데몬)를 도입했습니다. 이 웜은 MCP 서버 구성, Anthropic/OpenAI API 키 및 AI 코딩 에이전트 토큰을 포함한 AI 특화 자격증명을 목표로 합니다. langchain-core-mcp 타이포스쿼트가 악성 패키지 중 하나였으며, LangChain 사용자를 직접 목표로 했습니다. Zscaler ThreatLabz 분석(검증된 전체 텍스트)은 2025년 9월부터 2026년 6월 IDE 및 PyPI 파동까지 캠페인의 진화를 문서화하며, 소스 코드는 2026년 5월 12일 MIT 라이선스로 공개 공개되어 재사용 가능한 공격 인프라로 변모했습니다.
왜 중요한가
이 캠페인은 현재까지 관찰된 가장 정교한 AI 생태계 공급망 공격입니다. AI 개발자 및 그들의 도구를 직접 목표로 하며, 최첨단 모델에 대한 접근을 제어하는 AI API 키 및 모델 제공자 자격증명을 유출합니다. LLM 스캐너 회피 기술(악성 페이로드에 프롬프트 주입을 포함하여 AI 기반 보안 분석기를 속이는 것)은 AI 지원 보안 도구를 훼손하는 새로운 문제가 되는 상승입니다. 삭제 데몬은 사건 대응 플레이북을 역전시킵니다. 웜 소스 코드의 공개 MIT 릴리스는 이제 모든 위협 행위자가 이 캠페인을 실행할 수 있음을 의미합니다.
공격 경로
손상된 패키지는 Python 인터프리터 시작(모든 import 이전)할 때마다 실행되는 *-setup.pth 파일을 제공합니다. 후크는 GitHub에서 Bun JavaScript 런타임을 다운로드하고 14개 AI/클라우드/DevOps 시스템에서 자격증명을 수집하기 위해 프로세스 메모리(/proc/{pid}/mem on Linux, macOS의 Mach API, Windows의 ReadProcessMemory)를 읽는 난독화된 _index.js 페이로드를 실행합니다. 도난당한 데이터는 AES-256-GCM + RSA-2048로 암호화되어 공격자 제어 GitHub 저장소로 유출됩니다. 'gh-token-monitor' 영속성 데몬은 도난당한 토큰이 회전될 경우 파괴적 조치를 위협합니다. 페이로드는 LLM 기반 보안 스캐너를 회피하기 위해 프롬프트 주입 텍스트를 포함합니다.
영향받는 시스템
생물정보학, 그래프-ML 및 딥러닝 도구(langchain-core-mcp 타이포스쿼트 포함)에 걸친 26개 이상의 PyPI 패키지; 모든 OS의 Python 환경; CI/CD 파이프라인
완화 방안
알려지지 않은 소스의 *-setup.pth 파일에 대해 Python 환경을 감사합니다. IOC 목록(embiggen, ensmallen, gpsea, langchain-core-mcp, rsquests, tlask, rlask 등)에 대해 설치된 패키지를 확인합니다. 삭제 데몬 트리거를 피하기 위해 자격증명을 회전하기 전에 영향을 받은 시스템을 격리합니다. 패키지를 검증된 해시로 고정합니다. stygian-cerberus-* 및 tartarean-charon-* GitHub 저장소 이름(C2 유출 저장소)을 모니터링합니다.