🕳️ Vulnerabilities & CVEs

npm, '짜증나는' 시대는 끝났다: 워머블 공격의 부상

npm 생태계의 사소한 골칫거리에 대한 걱정은 이제 옛말이 되었다. 소름 끼치는 새로운 유형의 자가 복제 악성코드가 개발자의 신뢰하는 툴킷을 무기로 삼아 위협 지형을 재편하고 있다.

Threat Digest Apr 25, 2026 4 min read

Read in: English 日本語 한국어 Русский Türkçe

⚡ Key Takeaways

npm 생태계는 단순한 골칫거리 공격을 넘어 Shai-Hulud와 같은 정교하고 워머블한 악성코드로 진화했다. 𝕏
공격자들은 장기적인 지속성을 위해 자격 증명을 탈취하고 CI/CD 파이프라인을 침해하고 있다. 𝕏
다단계 페이로드와 회피 기법이 표준화되고 있어 탐지가 더욱 어려워지고 있다. 𝕏
공격자의 TTP는 여러 플랫폼(npm, Docker, GitHub Actions, VS Code)에 걸쳐 개발자 도구를 표적으로 하는 조정된 움직임을 보이고 있다. 𝕏