---
title: "미스트랄 AI의 NPM 패키지가 Shai Hulud 웜에 당했다"
published: 2026-05-11T23:45:10.000Z
canonical: https://jeff.news/article/2603
---
# 미스트랄 AI의 NPM 패키지가 Shai Hulud 웜에 당했다

미스트랄 AI의 타입스크립트 클라이언트 NPM 패키지가 최신 Shai Hulud 웜 공격의 일부로 언급됐다. 문제 버전은 @mistralai/mistralai 2.2.4로 지목됐고, NPM 생태계의 자기 전파형 공급망 공격이라는 맥락이 붙어 있다.

- 미스트랄 AI의 타입스크립트 클라이언트 NPM 패키지가 침해된 것으로 알려짐
  - 지목된 패키지는 `@mistralai/mistralai`이고, 문제 버전은 `2.2.4`로 언급됨
  - 미스트랄 API를 자바스크립트나 타입스크립트 앱에서 붙일 때 쓰는 클라이언트라 영향 범위가 작지 않을 수 있음

- 이 건은 최신 Shai Hulud 웜의 일부로 설명됨
  - 원문은 StepSecurity의 분석 글을 함께 가리키며, NPM 생태계를 노린 자기 전파형 공급망 공격이라고 언급함
  - 즉 단일 패키지 사고라기보다, 패키지 설치와 배포 신뢰 체인을 타고 번지는 유형의 공격으로 봐야 함

- 지금 바로 봐야 할 건 설치된 버전과 잠금 파일임
  - `package-lock.json`, `pnpm-lock.yaml`, `yarn.lock`에 `@mistralai/mistralai` 2.2.4가 들어갔는지 확인해야 함
  - CI, 배포 서버, 개발자 로컬에 해당 버전이 설치됐던 흔적이 있다면 토큰과 환경변수 노출 가능성까지 같이 점검하는 게 맞음

- 이번 일의 포인트는 “유명 AI 벤더 패키지도 공급망 공격에서 예외가 아니다”라는 것임
  - LLM API 클라이언트는 백엔드, 봇, 자동화 스크립트, 내부 도구에 넓게 들어감
  - 그래서 패키지 하나가 오염되면 단순 프론트 의존성보다 더 민감한 자격 증명과 만날 가능성이 큼

## 핵심 포인트

- 미스트랄 AI의 NPM 패키지 @mistralai/mistralai 2.2.4가 침해된 버전으로 언급됨
- 이번 건은 NPM 생태계를 노린 자기 전파형 공급망 공격인 최신 Shai Hulud 웜의 일부로 설명됨
- 해당 패키지를 쓰는 프로젝트는 설치된 버전과 잠금 파일을 즉시 확인할 필요가 있음

## 인사이트

LLM API 클라이언트 패키지는 서버와 CI에 바로 들어가는 경우가 많아서 공급망 공격의 충격이 크다. 유명 벤더 패키지라고 해서 설치 단계 보안 검증을 생략하면 안 되는 시대가 됐다.