무슨 일이 있었나
Mini Shai-Hulud는 더 광범위한 Shai-Hulud/Miasma 공급망 캠페인(UNC6780/TeamPCP에 귀속)의 일부입니다. 2026년 6월 19일, 보안 사냥은 21개의 손상된 GitHub 계정 전체에서 'A Mini Shai-Hulud has Appeared' 설명 마커를 포함하는 1,614개의 탈취 저장소를 식별했습니다. 웜은 postinstall 훅과 GitHub 워크플로우 실행을 통해 전파되며, 능동적으로 자격증명을 수집하고 탈취합니다.
왜 중요한가
이는 AI/ML 개발자를 대상으로 하는 자기 전파 공급망 웜입니다. 개발자의 계정이 손상되면, 웜은 클라우드 제공자, AI 플랫폼, 내부 시스템에 대한 자격증명을 수집합니다. 이러한 자격증명은 이후 횡적 이동, 데이터 도용, 모델 오염에 사용됩니다. 능동적인 전파(6월 19일 발견)와 자격증명 탈취는 이를 Tier A 위협으로 만듭니다.
공격 경로
웜은 개발자의 계정을 감염시키고, 환경 변수, .env 파일, CI/CD 시크릿, 클라우드 구성 파일에 저장된 자격증명을 수집합니다. 그런 다음 새로운 공개 GitHub 저장소를 생성하고 탈취된 자격증명을 평문으로 푸시하여 공격자가 접근 가능하게 합니다. 웜은 탈취된 신원을 사용하여 다른 저장소에 악의적인 코드를 커밋함으로써 감염을 전파합니다.
영향받는 시스템
GitHub 저장소 및 계정; AI/ML 개발자 및 CI/CD 파이프라인 대상
완화 방안
GitHub 계정이 손상된 경우 모든 자격증명을 즉시 순환하세요. GitHub의 보안 키 요구 사항 활성화; 단기 자격증명 및 API 토큰 사용; 승인되지 않은 저장소 생성 및 커밋에 대한 모니터링; 아웃바운드 자격증명 탈취에 대한 네트워크 수준 탐지 구현.