npm

느린 안개에서 발표한 바에 따르면, 140개 이상의 Mastra 관련 npm 소프트웨어 패키지가 공급망 공격을 받았으며, 영향을 받은 버전은 악성 의존성 easy-day-js@1.11.22를 도입하고 설치 단계에서 공격자가 제어하는 코드 실행을 유발합니다.

슬로우 후드 모니터링에 따르면, IronWorm이라는 이름의 새로운 Rust 공급망 악성 소프트웨어 활동이 악성 npm 패키지를 통해 개발자 환경과 Web3 생태계를 공격하고 있습니다. 잠재적인 공격 행동에는 자격 증명 도용, 지갑 니모닉 및 비밀번호 도용, GitHub 저장소 변조, 악성 패키지 배포, CI/CD 비밀 유출, Tor 기반 명령 제어 및 eBPF 루트킷 은폐가 포함됩니다.보안 팀은 저장소의 회귀 커밋, 의심스러운 브랜치, 예기치 않은 빌드 훅 및 claude, dependabot, renovate 또는 github-actions와 같은 자동화된 신원 확인의 커밋을 감사해야 합니다. 영향을 받은 패키지 버전을 제거하거나 폐기하고, 깨끗한 버전을 게시하며, 모든 유출된 키와 토큰을 교체하고, GitHub Actions 구성 요소를 검토하고, 깨끗한 이미지에서 손상된 개발 또는 CI 시스템을 재구성할 것을 권장합니다.

슬로우미스트(SlowMist)가 보안 경고를 발표했습니다. @redhat-cloud-services와 관련된 소프트웨어 패키지를 목표로 하는 활성 npm 공급망 공격이 감지되었습니다. 현재 31개 이상의 패키지가 영향을 받는 것으로 확인되었으며, 주간 다운로드 수는 약 116,000회에 달하고, 300개 이상의 GitHub 저장소에서 도난당한 자격 증명이 존재합니다. 이 공격 기법은 이전의 "Shai-Hulud" npm 공격과 매우 유사하며, 자격 증명 탈취, 악성 저장소 생성 및 자동화된 비밀 유출을 포함합니다. 현재도 새로운 의심스러운 저장소가 지속적으로 나타나고 있어 공격이 계속 진행 중임을 나타내며, 개발자들이 지속적으로 감염되고 있습니다.잠재적 위험에는 GitHub/npm 토큰 도난, AWS/GCP/Azure 클라우드 자격 증명 유출, SSH 키 및 Kubernetes 비밀 수집, 로컬 환경 및 지갑 데이터 유출, 악성 저장소 생성 및 지속적인 작업, 심지어 토큰이 해지된 후 파괴적인 행동을 유발할 수 있는 가능성이 포함됩니다. 영향을 받는 @redhat-cloud-services 패키지 버전을 즉시 제거하거나 다운그레이드하고, CI/CD 워크플로우 및 의존성 설치를 전면 감사하며, 모든 GitHub, npm, 클라우드 서비스, SSH 및 지갑 관련 키를 교체하고, 로그를 보관하며, 깨끗한 이미지에서 노출된 개발자 머신이나 러너를 재구성하고, 높은 경계를 유지할 것을 권장합니다.

느린 안개에 따르면, 보안 기관 MistEye가 하나의 교차 등록 공급망 공격 사건을 감지했습니다. 공격자는 npm, PyPI 및 crates.io에 악성 소프트웨어 패키지를 게시하여 암호화폐, DeFi, Solana, Sui/Move 및 AI 분야의 개발자를 겨냥했습니다. 이 공격 활동에는 34개 이상의 악성 소프트웨어 패키지와 384개 이상의 관련 버전이 포함되어 있습니다. 공격자는 암호화폐 지갑, SSH 키, 클라우드 자격 증명, GitHub/AWS 토큰, 브라우저 데이터, 환경 변수 및 개발자의 기밀 정보를 도용할 수 있습니다.일부 악성 페이로드는 .cursorrules, CLAUDE.md, Git 훅, 셸 훅, cron, systemd 및 SSH를 통해 지속적인 거주를 시도했습니다. 개발자에게는 즉시 영향을 받는 소프트웨어 패키지를 제거하고, 영향을 받는 시스템을 격리하며, 로그를 보존하고, 노출된 자격 증명을 교체하고, 깨끗한 이미지로 CI 실행 환경과 개발자 머신을 재구성하며, GitHub, 클라우드 서비스, SSH 및 지갑 활동 기록을 검토할 것을 권장합니다.

블록체인 보안 기관 SlowMist (@SlowMist_Team) 산하 위협 모니터링 시스템 MistEye의 모니터링에 따르면, "Mini Shai-Hulud"라는 이름의 고도로 복잡한 npm 웜이 TanStack, UiPath, DraftLab 등 유명 개발자 프로젝트를 통해 퍼지고 있습니다. 공격자는 GitHub 자격 증명을 탈취하여 합법적인 업데이트로 위장한 악성 소프트웨어 패키지를 배포하고, 그 안에 숨겨진 스크립트 router_init.js를 삽입하여 GitHub Actions와 같은 CI/CD 환경에서 조용히 실행되며, CI/CD 키, 클라우드 인프라 키 및 암호화폐 지갑 정보를 전문적으로 탈취하고 GitHub 자체 인프라를 이용해 데이터를 유출합니다.SlowMist는 고객에게 관련 위협 정보 (IOC)를 동기화했으며, 영향을 받은 소프트웨어 패키지를 사용하는 프로젝트는 즉시 CI/CD 파이프라인에 router_init.js 파일이 있는지 점검하고, 노출된 모든 GitHub, 클라우드 서비스 및 암호화폐 자격 증명을 교체하며, 개발 환경에서 비정상적인 백그라운드 활동을 지속적으로 모니터링할 것을 권장합니다.

공격자가 JavaScript에서 가장 인기 있는 HTTP 클라이언트 라이브러리 Axios의 수석 유지 관리자의 npm 접근 토큰을 탈취하고, 해당 토큰을 이용해 크로스 플랫폼 원격 접근 트로이 목마(RAT)가 포함된 두 개의 악성 버전(axios@1.14.1 및 axios@0.3.4)을 배포했습니다. 이들은 macOS, Windows 및 Linux 시스템을 대상으로 하였습니다. 악성 패키지는 npm 레지스트리에서 약 3시간 동안 생존한 후 제거되었습니다.보안 회사 Wiz의 데이터에 따르면, Axios는 매주 1억 회 이상 다운로드되며, 약 80%의 클라우드 및 코드 환경에 존재합니다. 보안 회사 Huntress는 악성 패키지가 온라인에 올라온 지 89초 만에 첫 번째 감염을 감지하였고, 노출 기간 동안 최소 135개의 시스템이 침해되었음을 확인했습니다. 주목할 점은 Axios 프로젝트가 이전에 OIDC 신뢰할 수 있는 배포 메커니즘과 SLSA 추적 증명과 같은 현대적인 보안 조치를 배포했지만, 공격자가 이러한 방어선을 완전히 우회했다는 것입니다. 조사 결과, 프로젝트가 OIDC를 구성하는 동시에 전통적인 장기 유효 NPM_TOKEN을 유지하고 있었으며, npm은 두 토큰이 공존할 때 기본적으로 전통적인 토큰을 우선 사용하여 공격자가 OIDC를 우회하여 배포를 완료할 수 있었습니다.

시장 소식에 따르면, Socket이 npm 핵심 패키지 axios의 1.14.1 버전에서 활발한 공급망 공격을 감지했습니다. 공격자는 악성 의존성 패키지를 주입하여 axios에 악성 코드를 심었습니다. axios를 사용하는 개발자는 즉시 버전을 고정하고 프로젝트 잠금 파일을 검토할 것을 권장합니다.

Cryptopolitan에 따르면, GhostClaw라는 이름의 새로운 악성 소프트웨어가 macOS 장치의 암호화 지갑을 겨냥하고 있습니다.이 악성 소프트웨어는 합법적인 OpenClaw CLI 도구로 가장하여 npm 레지스트리에 일주일 동안 존재하다가 178명의 개발자를 감염시킨 후 제거되었습니다. 개발자가 "npm install" 명령을 실행하면, 숨겨진 스크립트가 GhostClaw 패키지를 전역으로 설치하고 혼란스러운 설정 파일을 통해 탐지를 피합니다. GhostClaw는 3초마다 클립보드를 스캔하여 개인 키, 니모닉, 공개 키 등 암호화 지갑 및 거래 관련 데이터를 캡처합니다.두 번째 단계의 페이로드가 다운로드된 후, GhostLoader는 Chromium 브라우저, macOS 키체인 및 시스템 저장소에서 암호화 지갑 데이터를 스캔하고, 브라우저 세션을 복제하여 로그인된 지갑에 대한 접근 권한을 얻으며, OpenAI 및 Anthropic과 같은 AI 플랫폼에 연결된 API 토큰을 훔칩니다. 훔친 데이터는 Telegram, GoFile 및 명령 서버를 통해 공격자에게 전송됩니다.

据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 "@openclaw-ai/openclawai" 的恶意 npm 包正在实施多层攻击。该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

据 GMGN 数据，BAGS 生态 Meme 代币 NPM 出现短时急跌，市值自高点 890 万美元下行触及 80 万美元，1 小时跌超 80%，上线 5 小时成交量 1,320 万美元。据悉，NPM 代币叙事为致敬全球最大包管理器 NPM 创始人 Isaac Z. Schlueter，其被誉为程序员界的 "V 神"。ChainCatcher 提醒用户，Meme 币多无实际用例，价格波动较大，投资需谨慎。

느린 안개 기술 최고 정보 보안 책임자 23pds 보안 경고 발표NPM 공급망 공격의 최신 변종 "Shai-Hulud 3"가 다시 나타났습니다. 각 프로젝트 팀과 플랫폼은 방어에 주의해 주시기 바랍니다. 이전에 Trust Wallet API 키 유출이 Shai-Hulud 2 공격의 원인으로 의심되었습니다.Shai-Hulud는 NPM 생태계를 겨냥한 자가 전파 웜형 공급망 공격의 일련으로, 개발자 자격 증명, 클라우드 키 및 환경 비밀을 탈취하는 데 사용됩니다. 최신 변종(커뮤니티에서 Shai-Hulud 3 또는 새로운 변종으로 불림)은 2025년 12월 28일 Aikido Security 연구원 Charlie Eriksen에 의해 발견되었으며, 현재 전파 범위는 제한적이며, 아마도 테스트 단계에 있을 것입니다.

느린 안개 기술 최고 정보 보안 책임자 23pds 보안 경고 발표NPM 공급망 공격의 최신 변종 "Shai-Hulud 3"가 다시 발생했습니다. 각 프로젝트 팀과 플랫폼은 방어에 주의해 주시기 바랍니다. 이전에 Trust Wallet API 키 유출이 Shai-Hulud 2 공격의 원인일 수 있다고 의심되었습니다.

ChainCatcher 메시지, Scam Sniffer가 NPM 공급망을 겨냥한 또 다른 공격 사건을 모니터링했습니다. @ctrl/tinycolor(주간 다운로드 수 220만 회)가 악성 버전을 배포했으며, 이 버전은 npm의 postinstall(설치 후) 스크립트 실행 시 정보 탈취 프로그램을 실행하여 민감한 데이터를 스캔하고 탈취합니다.이 악성 페이로드는 합법적인 민감 정보 스캔 도구인 TruffleHog를 남용했습니다. 영향을 받은 버전을 다운로드했는지 확인하고, 설치/업데이트 작업을 중단하며, 버전을 알려진 안전한 버전으로 고정하십시오.

ChainCatcher 메시지, DuckDB 공식 트위터에 따르면, DuckDB의 Node.js 및 Wasm 소프트웨어 패키지가 최근 npm 공급망 공격에서 악성 소프트웨어에 감염되었다고 합니다. 공식은 조사 후 영향을 받은 버전을 폐기하고 새로운 버전을 발표했습니다. DuckDB는 npm 데이터에 따르면, 현재 영향을 받은 패키지를 다운로드한 사용자는 없다고 밝혔습니다. 팀은 사후 분석 및 대응 조치를 자세히 설명하는 보안 공지를 발표했습니다.

ChainCatcher 메시지, 느린 안개 기술의 최고 정보 보안 책임자 23 pds가 X 플랫폼에 글을 올리며, DuckDB NPM 계정이 해킹당했으며, 악성 버전 duckdb, duckdb-wasm 등이 배포되었다고 전했습니다. 이 악성 소프트웨어는 공급망 공격에서 발생한 지갑 탈취 악성 소프트웨어와 일치합니다. 위험 방지에 주의하세요.

ChainCatcher 메시지에 따르면, CertiK Alert 모니터링 결과, 개발자 Qix의 NPM 계정이 피싱 공격을 받았으며, 공격자가 악성 코드를 npm에 주입했습니다. Security Alliance에 따르면, 공격자는 약 0.05 달러의 ETH와 20 달러의 Meme 코인만을 얻은 것으로 보입니다.이전에 보도된 바에 따르면, Ledger의 최고 기술 책임자 Charles Guillemet는 "현재 대규모 공급망 공격이 발생하고 있습니다: 한 유명 개발자의 NPM 계정이 해킹당했습니다. 영향을 받은 패키지의 다운로드 수는 10억 회를 초과했으며, 이는 전체 JavaScript 생태계가 위험에 처할 수 있음을 의미합니다. 악성 코드의 작동 원리는 백그라운드에서 암호화폐 주소를 조용히 변조하여 자금을 훔치는 것입니다."라고 언급했습니다.

ChainCatcher 메시지에 따르면, 시장 소식에 의하면 유명 개발자 qix가 피싱 공격으로 인해 npm 소프트웨어 패키지에 악성 코드가 주입되었으며, 관련 패키지에는 chalk, strip-ansi, color-convert 등이 포함됩니다.공격 방식은 지갑 기능을 훔치고, ETH/SOL 거래 수취 주소를 변조하며, 네트워크 응답의 주소를 교체하는 것입니다. 사용자 권장 사항: 반드시 지갑 인터페이스에서 수취인과 금액을 확인하고, 붙여넣기 후 주소 변화를 점검하며, 최근 거래를 재검토하고, 고가치 작업은 하드웨어 지갑을 우선 사용하세요.

ChainCatcher 메시지, Socket 보안 연구 팀은 바이낸스 스마트 체인(BSC)과 이더리움(Ethereum) 사용자 지갑을 겨냥한 네 개의 악성 npm 패키지를 발견했습니다. 이 패키지는 각각 pancake_uniswap_validators_utils_snipe(350회 다운로드), pancakeswap-oracle-prediction(445회 다운로드), ethereum-smart-contract(305회 다운로드) 및 env-process(1,054회 다운로드)로, 총 다운로드 수는 2,100회를 초과했습니다.공격자는 혼란스러운 JavaScript 코드를 통해 목표 지갑 잔액의 백분율을 계산하고 최대 85%의 자산을 자신의 제어 지갑 주소로 전송하려고 시도합니다.

ChainCatcher 메시지에 따르면, 암호화 보안 연구 기관 Aikido Security가 모니터링한 결과, 공식 XRPL NPM 패키지에서 보안 취약점이 발견되었습니다. 이 백도어 프로그램은 사용자 개인 키를 훔쳐 공격자에게 전송합니다. 영향을 받는 버전은 4.2.1에서 4.2.4까지이며, Aikido Security는 이전 버전을 사용하는 사용자에게 버전 업그레이드를 하지 말 것을 권장합니다.