안녕하세요,그로메트릭 입니다. 🐸 오픈소스 생태계를 겨냥한 대규모 공급망 공격이 다시 돌아왔습니다. 'Shai-Hulud Miasma'로 명명된 이번 캠페인은 npm 패키지 생태계 전반에 300개가 넘는 악성 패키지 버전을 유포하며, 개발자 환경과 CI/CD 파이프라인을 침투 경로로 삼아 자격 증명을 탈취하고 스스로 퍼져나가는 웜(worm) 형태의 공급망 공격입니다. 이번 변종이 특히 주목받는 이유는 기존 탐지 방식을 교묘히 우회했기 때문입니다. 대부분의 보안 가이드라인은 package.json의 preinstall·postinstall 스크립트를 검사하는 방식에 초점을 맞춰왔습니다. 그러나 이번 공격은 native Node.js 모듈 빌드에 정상적으로 사용되는 binding.gyp 파일을 악용해, n..

안녕하세요,그로메트릭 입니다. 🐸 지난 4월 14일 Sonatype이 발표한 '2026년 1분기 오픈소스 악성코드 지수(Q1 2026 Open Source Malware Index)'에 따르면, 전 세계적으로 누적된 악성 패키지는 이제 134만 개를 넘어섰습니다. 특히 이번 1분기에만 21,764개의 새로운 악성 패키지가 발견되었으며, 이는 전년 동기 대비 21% 증가한 수치입니다.가장 경계해야 할 점은 이런 공급망 공격이 고도화 되었다는 점입니다. 발견된 악성 코드 중 75%가 npm 생태계에 집중되어 있으며, 단순히 코드를 심는 것을 넘어 기밀 탈취(19%)와 호스트 정보 유출(22%)을 목적으로 하는 '트로이목마'형 공격이 주를 이루고 있습니다. 특히 axios 침해 사고나 Trivy 하이재킹 사..

그로메트릭 네이버 블로그에 IT기술보안 관련 주요 소식들이 올라왔습니다.25년도 12월 마지막까지 안전하게 프로젝트를 관리하실 수 있도록 네이버 블로그를 구독해보시는 것은 어떨까요? [긴급 보안 이슈] 주요 npm 패키지 490여 개 감염! 'Shai-Hulud 2.0' 공급망 공격 분석 및 대응 당신이 몰랐던 HTTPS 자물쇠의 5가지 비밀 -1

그로메트릭 네이버 블로그에서 자세한 내용을 참고하세요!https://m.blog.naver.com/grometric/224001485214 [긴급공지] npm Chalk 및 Debug 패키지가 소프트웨어 공급망 공격에 노출됨안녕하세요 그로메트릭 입니다. 🐸 npm 공급망 공격 사건에 대하여 sonatype 보안 연구팀이 제공한 블로...blog.naver.com 연관 시리즈 글이 궁금하시다면 아래 그로메트릭 네이버 블로그를 참고하세요!내 프로젝트의 npm 패키지, 정말 안심하고 사용하시나요? 내 프로젝트의 npm 패키지, 정말 안심하고 사용하시나요?안녕하세요 그로메트릭 입니다. 🐸 최근 개발자 커뮤니티가 chalk, debug 등 유명 npm 패키지를 겨냥한 ...blog.naver.com [sona..

그로메트릭 네이버 블로그 원문을 참고하세요!https://m.blog.naver.com/grometric/224001430811​ npm 공급망 공격 사건 정리: 패키지 악성 코드 삽입안녕하세요 그로메트릭 입니다. 🐸 2025년 9월 8일 발생한 npm 생태계의 심각한 공급망 공격 사건을 정리...blog.naver.com 안녕하세요그로메트릭 입니다. 🐸2025년 9월 8일 발생한 npm 생태계의 심각한 공급망 공격 사건을 정리했습니다.사건의 시작: npm 계정 피싱과 악성 패키지 배포2025년 9월 8일, 공격자는 npm 패키지 유지관리자를 대상으로 피싱 이메일을 보냈습니다.발신 주소: support@npmjs.help“지난 12개월간 2FA(이중 인증)를 갱신하지 않았으며, 2025년 9월 10..