{ "title": "미니 샤이-훌루드: 공급망 공격의 새로운 경보", "subtitle1": "npm과 PyPI, 동시 타격 받은 이유",
"subtitle2": "공격자들의 첨단 기술 활용 전략", "subtitle3": "한국 기업들이 배워야 할 대응 방안", "content": "2026년 5월 11일, IT 업계에 또다시 큰 충격을 안긴 사건이 발생했다.
'미니 샤이-훌루드(Mini Shai-Hulud)'라는 코드명으로 불리는 대규모 소프트웨어 공급망 공격은 npm 및 PyPI 생태계를 동시다발적으로 공격하며 개발자들과 IT 보안 전문가들의 긴장감을 고조시켰다. 이 공격으로 인해 TanStack, Mistral AI, UiPath, OpenSearch 등 다양한 유명 프로젝트들이 직접적인 타격을 받았으며, 관련된 170개 이상의 npm 패키지와 2개의 PyPI 패키지에서 총 404개에 달하는 악성 버전이 유출되었다는 사실이 밝혀졌다.\n\n공급망 공격은 최근 몇 년 동안 IT 업계에서 지속적으로 증가하며 주의 깊게 관찰되어 왔지만, 이번 사건은 그 규모와 비유할 데 없이 큰 충격을 주었다.
특히, '미니 샤이-훌루드'는 2026년 기준으로 가장 큰 규모의 레지스트리 포이즈닝(Registry Poisoning) 사건으로 기록되었으며, 단일 캠페인으로 npm과 PyPI를 모두 표적 삼은 첫 사례로 남아 있다.\n\n공격의 핵심은 GitHub Actions의 취약점을 교묘히 이용한 데 있다. 공격자는 pull_request_target이라는 취약점을 비롯해 여러 가지 보안 허점을 이용해 자격 증명 탈취를 목표로 했다. GitHub Actions의 캐시 포이즈닝과 OIDC 토큰을 러너 메모리에서 런타임 추출하는 복합적인 방식이 사용되었으며, 이를 통해 자격 증명 탈취용 페이로드가 게시되었다.
","특히 tanstack/* 패키지 42개, Mistral AI의 공식 JavaScript/TypeScript 및 Python SDK, 그리고 UiPath의 다양한 툴링이 직접적인 표적이 되었다. 이처럼 광범위한 공격 패턴은 오픈 소스 생태계의 문제점을 극명하게 드러냈다.\n\n한국의 IT 기업들 역시 이번 사례를 통해 주목할 점이 있다. 오픈 소스 라이브러리를 활용하는 많은 기업들이 여전히 보안에 취약하기 때문이다.
이러한 공격 패턴은 단순히 개별 회사를 타겟으로 삼지 않고, 보다 광범위하게 사용되는 소프트웨어 의존성과 개발 도구를 겨냥해 그 파급효과를 극대화하고 있다는 점에서 특히 위협적이다. "
광고
){kind=small}
){kind=small}
){kind=small}
){kind=small}