의도치 않은 퍼블릭 저장소 생성 여부 반드시 확인해야
‘샤이 훌루드’는 프랭크 허버트(Frank Herbert)의 SF 소설 ‘듄(Dune)’에 등장하는 거대 사막 벌레의 이름에서 따온 명칭으로, 감염된 개발자의 환경을 기반으로 다른 패키지에 자기 복제를 수행하는 최초의 공급망 기반 웜 악성코드이다.
로그프레소 측은 최근 소프트웨어 공급망 공격(Supply Chain Attack)의 위협이 급격히 증가하는 가운데, NPM 생태계를 노린 샤이 훌루드 웜의 대규모 공격이 연이어 확인되고 있다고 설명했다.
해당 악성코드는 정상적인 NPM 패키지로 위장해 설치되며, 개발자 PC의 각종 크리덴셜·토큰을 수집해 깃허브(GitHub)에 자동 업로드하고 감염된 NPM 패키지를 게시해 자가 복제하는 방식으로 동작한다. 현재까지 감염된 NPM 패키지 수는 700개 이상, 무단으로 생성되거나 침해된 것으로 파악되는 깃허브 저장소는 2만5천 개 이상으로 파악돼 피해 확산이 우려되고 있다.
로그프레소는 깃허브에 “Sha1-Hulud: The Second Coming.” 설명 문구를 포함한 퍼블릭 저장소가 존재하거나, NPM 패키지를 설치한 뒤 PC·프로젝트에서 비정상 동작이 발생하는 경우 샤이 훌루드 공격일 가능성이 높다고 전했다.
양봉열 로그프레소 대표는 “이번 공격은 개발자가 인지하지 못하는 사이에 자동으로 퍼지고 계정을 탈취한다는 점에서 특히 위험하다”며 “오픈 소스를 적극 활용하는 기업들은 이러한 공급망 공격 전략을 면밀히 분석하고, 재발 방지를 위한 보안 대응 체계를 강화할 필요가 있다”고 강조했다.
sglee640@beyondpost.co.kr
