단 105초 만에 감염된 MS 깃허브 73곳: AI 코딩 도구를 무기화한 미아즈마 웜 분석

공격의 발원지: 레드햇 npm 패키지 해킹 사건

이번 마이크로소프트 깃허브 사건은 며칠 전 오픈소스 소프트웨어 공급망에서 시작된 대규모 캠페인의 마지막 단계였습니다.

2026년 6월 1일, 공격자들은 탈취한 레드햇(Red Hat) 직원의 깃허브 계정을 사용해 32개의 공식 @redhat-cloud-services npm 패키지에 백도어를 심었습니다. 이는 90개 이상의 버전에 걸쳐 이루어졌습니다 . npm은 자바스크립트 기반 소프트웨어를 위한 세계 최대의 패키지 저장소로, 마치 앱스토어와 같은 역할을 합니다. 마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)는 이 침해 사고가 RedHatInsights/javascript-clients라는 상위 CI/CD 파이프라인(소프트웨어를 자동으로 빌드하고 배포하는 시스템)에서 비롯되었으며, 이를 통해 공격자들이 겉보기에는 멀쩡해 보이는 '출처 서명'이 포함된 악성 패키지를 유통할 수 있었음을 밝혀냈습니다 . 이 악성 패키지들은 설치 시 실행되는 난독화된 '사전 설치 스크립트(preinstall script)'를 통해 자격 증명 탈취기를 작동시켰고, 이것이 더 큰 규모의 미아즈마 확산을 위한 발판이 되었습니다 .

대응 및 진화

깃허브와 마이크로소프트의 대응은 신속하고 단호했지만, 이 사건이 남긴 파장은 매우 깊습니다.

• 즉각적인 비활성화: 깃허브의 자동 악용 탐지 시스템은 감염된 저장소 73곳을 두 차례에 걸쳐 일제히 비활성화했으며, 공개 접근을 차단하고 "서비스 약관 위반" 공지를 띄웠습니다 .
• 복구 및 재발 방지: 마이크로소프트는 6월 8일까지 모든 피해 저장소를 완전히 복구하고 영향을 받은 고객들에게 통지했습니다 . 특히, 공격자가 **교체되지 않은 깃허브 액션 비밀 키(unrotated GitHub Actions secrets)**를 재사용하여 접근 권한을 유지하고 확장했다는 점이 핵심 조사 결과로 드러났습니다. 이는 이전 침해 사고의 뒷처리가 완벽하지 않았음을 의미합니다 .
• 더 깊은 뿌리: 조사 결과, 6월 5일 공격에 사용된 탈취 자격 증명들은 무기화되기 전 이미 48일 동안 활성화된 탈취 기록(stealer logs)에 남아 있었습니다. 이는 웜이 작동하기 훨씬 이전부터 장기간에 걸친 침투가 있었음을 시사합니다 .

배후는 누구인가: 샤이훌루드(Shai-Hulud)의 유산과 모방범 문제

미아즈마 웜은 팀PCP(TeamPCP) 라고 알려진 위협 그룹이 만든 미니 샤이훌루드(Mini Shai-Hulud) 웜 프레임워크의 직계 후손입니다 . '샤이훌루드'는 공상과학 소설 '듄(Dune)'에 나오는 거대한 모래벌레 이름으로, 끊임없이 증식하고 파고드는 이 악성코드의 특성을 상징합니다. 팀PCP의 이전 캠페인은 2026년 5월 12일에 공개되었는데, 당시 이미 AI 개발자 라이브러리를 직접 겨냥하여 170개 이상의 npm 및 PyPI 패키지를 감염시켰으며, 누적 다운로드 수는 무려 5억 1,800만 건을 넘었습니다 .

상황을 더 복잡하게 만드는 것은, 팀PCP가 미니 샤이훌루드 프레임워크를 오픈소스로 공개했다는 사실입니다 . 이는 불특정 다수의 모방범들이 동일한 코드베이스에 접근할 수 있게 되었음을 의미합니다. 미아즈마에 사용된 기술과 코드가 팀PCP의 계보와 강력하게 연결되어 있지만, 여러 보안 연구자들은 이 특정 공격이 원조 그룹의 소행이라고 단정할 수는 없으며, 오픈소스 툴킷을 손에 넣은 어떤 모방범이라도 공격의 전부 또는 일부를 감행했을 가능성을 경고하고 있습니다 .

개발자를 위한 보안 권고 사항

미아즈마 공격은 보안의 경계선을 근본적으로 재정의합니다. 코드 저장소를 여는 것은 더 이상 수동적이고 안전한 행위가 아닙니다. 연구원들은 다음과 같은 몇 가지 핵심 권장 사항을 제시했습니다.

• 모든 것을 폐기하고 교체하라: 깃허브 액션 토큰, 각종 클라우드 제공자 자격 증명, npm 퍼블리시 토큰, 그리고 CI/CD 로그나 감염된 저장소 또는 탈취 기록을 통해 노출되었을 수 있는 모든 비밀 키를 즉시 교체해야 합니다 .
• 엄격한 다중 인증(MFA)을 시행하라: 자격 증명 기반 침입을 막기 위해 모든 기여자 계정에 다중 인증을 의무화하고, 가능하면 하드웨어 보안 키를 사용해야 합니다 .
• AI 도구의 신뢰 경계를 재설정하라: 신뢰할 수 없는 저장소는 정체불명의 프로그램 파일처럼 취급해야 합니다. 클로드 코드, 커서, 제미니 CLI, VS 코드 같은 AI 코딩 에이전트가 저장소의 설정 파일이나 작업 파일을 자동으로 실행하거나 읽지 않도록 설정해야 합니다 .
• CI/CD 파이프라인을 강화하라: 깃허브 액션 워크플로를 감사하여 액션 토큰의 쓰기 권한을 제한하고, 사용하지 않는 토큰은 제거하며, 수명이 짧은 자격 증명을 사용하도록 강제해야 합니다 .
• 공급망 위생을 강화하라: 종속성 검사 도구를 사용하고, 소프트웨어 자재 명세서(SBOM)를 생성하며, 패키지 설치 전에 그 출처를 확인해야 합니다. 또한, 난독화된 사전 설치(preinstall) 또는 사후 설치(postinstall) 스크립트가 있는지 패키지를 모니터링해야 합니다 .