Mini Shai‑Hulud 공급망 공격: TanStack 해킹부터 OpenAI 기기 영향까지

공격자는 TanStack의 공식 배포 파이프라인을 이용해 단 몇 분 사이에 42개의 @tanstack/* npm 패키지에 84개의 악성 버전을 게시했다.

이 버전들을 설치하면 npm 설치 과정에서 실행되는 **lifecycle hook(preinstall 등)**을 통해 악성 코드가 다운로드되고 실행됐다.

보안 연구자들이 이후 조사한 결과 피해 규모는 빠르게 커졌다.

• 170개 이상의 npm·PyPI 패키지 감염
• 403개의 악성 패키지 버전 확인
• UiPath, Mistral AI, OpenSearch, Guardrails AI 관련 프로젝트도 영향

이로 인해 Mini Shai‑Hulud는 2026년 최대 규모 오픈소스 공급망 공격 중 하나로 기록됐다.

악성 코드의 동작 방식

악성 패키지는 패키지 설치 과정에서 실행되는 npm lifecycle hook을 이용해 코드 실행을 유도했다.

실행되면 악성 코드는 감염된 개발 환경에서 **각종 자격 증명(credential)**을 수집하려 시도했다. 연구자들이 관찰한 주요 대상은 다음과 같다.

• GitHub Personal Access Token
• npm 패키지 퍼블리시 토큰
• 클라우드 계정 키 (AWS, Azure, GCP)
• Kubernetes 비밀 정보
• HashiCorp Vault 토큰
• CI/CD 환경 변수
• SSH 키와 개발 환경 설정 파일

이렇게 탈취된 정보는 다른 저장소나 프로젝트를 공격하는 데 사용될 수 있으며, 이를 통해 악성 패키지가 개발 인프라를 따라 자동으로 확산될 수 있었다.

OpenAI 직원 기기 2대가 영향을 받은 이유

전체 공격 확산 과정에서 악성 TanStack npm 패키지가 OpenAI 내부 환경의 직원 기기 두 대에 설치된 사실이 확인됐다.

OpenAI에 따르면 해당 시스템에서는 무단 접근 시도와 자격 증명 중심의 데이터 유출 활동이 감지됐다.

그러나 조사 결과 다음과 같은 결론이 나왔다.

• 고객 데이터 접근 증거 없음
• 일부 제한적인 자격 증명 정보만 노출

공개된 보고서에서는 어떤 TanStack 패키지 버전이 직접적으로 감염을 유발했는지 등 구체적인 감염 경로는 공개되지 않았다.

OpenAI가 macOS 앱 인증서를 변경한 이유

사건 이후 OpenAI는 macOS 애플리케이션을 조직 정책으로 허용(allowlist)하는 기업 환경을 위해 보안 안내를 업데이트했다.

OpenAI는 대응 과정에서 macOS 앱의 Apple Developer 서명 인증서가 변경되었다고 밝혔다.

관리자가 알아야 할 핵심 사항은 다음과 같다.

• Apple Developer Team ID는 그대로 유지: 2DC432GLL2
• Team ID 기반 허용 정책은 그대로 작동할 수 있음
• 하지만 인증서 지문(fingerprint)이나 조직 이름으로 검증하는 정책은 업데이트 필요

기업 환경에서 macOS 애플리케이션 허용 정책을 운영하는 경우 새로운 OpenAI 서명 인증서가 신뢰 목록에 포함되어 있는지 확인해야 한다.

npm과 PyPI 전체 생태계에 남긴 영향

Mini Shai‑Hulud 사건은 현대 소프트웨어 개발에서 중요한 보안 문제를 드러냈다.

바로 자동화된 패키지 배포 파이프라인 자체가 공격 대상이 될 수 있다는 점이다.

기존 공급망 공격이 보통 다음과 같은 방식이었다면

• 개발자 계정 탈취
• 악성 코드 직접 삽입

이번 공격은 다음을 악용했다.

• CI/CD 자동화 시스템
• OIDC 기반 신뢰 퍼블리싱
• 패키지 레지스트리 신뢰 모델

그 결과 정상적인 빌드 서명과 출처 증명을 가진 악성 패키지라는 새로운 유형이 등장했다.

최대 공격 시점 기준 피해 규모는 다음과 같다.

• 170개 이상의 npm·PyPI 패키지 감염
• 수백 개 악성 버전 배포
• 여러 개발자 생태계에 일시적 영향

개발자와 OpenAI 사용자에게 필요한 대응

1. 2026년 5월 11~12일 설치된 의존성 점검

이 기간 동안 TanStack 관련 패키지를 설치했다면 빌드 로그와 의존성을 검토해야 한다.

2. 영향 받은 패키지 제거 후 재설치

악성 버전이 포함된 경우

• 패키지 제거
• 안전한 버전으로 재설치
• 깨끗한 환경에서 프로젝트 재빌드

3. 개발자 자격 증명 교체

악성 코드가 자격 증명을 수집하려 했기 때문에 다음 항목을 교체하는 것이 권장된다.

• GitHub 토큰
• npm / PyPI 퍼블리시 토큰
• 클라우드 서비스 키
• CI/CD 비밀 변수

4. GitHub Actions 배포 워크플로 점검

패키지 퍼블리시 자동화가 있는 프로젝트는 OIDC 기반 trusted publishing 설정을 엄격히 제한해야 한다.

5. OpenAI macOS 앱 허용 정책 업데이트

기업 환경에서 OpenAI 데스크톱 앱을 사용하는 경우 새로운 서명 인증서가 허용 목록에 포함됐는지 확인해야 한다.

이 사건이 보여준 새로운 공급망 보안 현실

Mini Shai‑Hulud는 공격자들이 점점 프로덕션 시스템이 아니라 개발 인프라 자체를 노리고 있다는 사실을 보여준다.

개발자들이 신뢰하는 오픈소스 패키지와 자동화 도구를 공격하면, 악성 코드는 매우 빠르게 수많은 프로젝트로 퍼질 수 있다.

또한 이번 사건은 중요한 교훈을 남겼다.

정상적인 서명과 provenance가 있다고 해서 반드시 안전한 패키지라는 보장은 없다. 빌드 파이프라인 자체가 침해되면 그 신뢰 체계도 함께 무너질 수 있기 때문이다.

오픈소스 의존성이 많은 팀일수록 다음이 점점 중요해지고 있다.

• 의존성 변경 모니터링
• 빌드 환경 격리
• 사고 발생 후 빠른 자격 증명 교체

이러한 조치는 이제 선택이 아니라 현대 소프트웨어 보안의 기본 요건으로 여겨지고 있다.