--- title: "레드햇 관련 npm 패키지 감염, 미아즈마 웜이 개발자 환경과 클라우드 계정까지 노렸다" published: 2026-06-02T10:05:03.870Z canonical: https://jeff.news/article/3625 --- # 레드햇 관련 npm 패키지 감염, 미아즈마 웜이 개발자 환경과 클라우드 계정까지 노렸다 레드햇 관련 npm 패키지가 악성코드에 감염돼 개발자 PC, 깃허브 토큰, 클라우드 자격증명, 쿠버네티스 설정, CI/CD 비밀정보까지 노린 사건이 드러났어. 이번 미아즈마 변종은 패키지 설치만으로 실행되고, VS 코드와 클로드 코드 설정까지 건드려 지속성을 확보하려 했다는 점이 특히 위험해. - 레드햇 관련 npm 패키지가 악성코드에 감염되는 공급망 공격이 발생함. 이름은 미아즈마(Miasma)로 붙었고, 보안업계는 기존 샤이훌루드 웜의 축소판인 ‘미니 샤이훌루드’ 계열로 보고 있음 - 소켓, 아이키도 시큐리티, 제이프로그, 마이크로소프트, 위즈, 리버싱랩스, 세이프뎁, OX 시큐리티, 스텝시큐리티 등이 공동 분석에 참여함 - 공격 대상은 단순히 개발자 로컬 PC가 아니라 깃허브, CI/CD, 클라우드 계정, 쿠버네티스 환경까지 이어졌음 - 제일 무서운 부분은 ‘설치만 해도 감염’된다는 점임 - 공격자는 npm 저장소에 등록된 레드햇 클라우드 서비스 관련 패키지를 악용함 - 취약점 관리, 접근제어, 자산관리, 소스관리 기능을 제공하는 여러 라이브러리가 공격에 포함됨 - 사용자가 별도 실행 파일을 열지 않아도 패키지 설치 과정에서 숨겨진 스크립트가 실행되도록 설계돼 있었음 > [!WARNING] > node_modules만 지우고 끝낼 문제가 아님. VS 코드 설정, 클로드 코드 설정, 깃허브 워크플로우, 저장소 권한, 노출된 토큰까지 전부 확인해야 하는 유형임. - 악성코드는 감염된 개발 환경을 먼저 싹 훑었음 - 수집 대상에는 깃허브 액션 비밀정보, npm 인증토큰, AWS·애저·구글 클라우드 자격증명, 쿠버네티스 설정 파일, 하시코프 볼트 인증정보, SSH 키, 깃 자격증명이 포함됨 - 기존 샤이훌루드 계열이 저장된 비밀정보 탈취에 집중했다면, 이번 변종은 클라우드 신원과 권한 자체를 확보하는 쪽이 더 강화됐다고 분석됨 - 탈취한 인증정보를 모으는 데서 끝나지 않고, 다음 감염까지 시도한 정황이 나옴 - 악성코드는 깃허브 API로 쓰기 권한이 있는 저장소를 찾음 - 이후 워크플로우 파일과 설정 파일을 조작해 추가 감염을 노림 - 깃허브 그래프QL을 활용해 정상적인 서명 커밋처럼 위장하는 기능도 포함됐다고 함 - npm 쪽에서도 공급망 확산을 염두에 둔 움직임이 확인됨 - 탈취한 토큰으로 패키지를 다시 패키징하고 시그스토어 서명까지 수행한 정황이 있음 - 겉으로는 신뢰 가능한 정상 패키지처럼 보이게 만들어 더 넓은 생태계로 퍼뜨리려는 전략으로 분석됨 - 지속성 확보 방식도 꽤 집요함. 개발 도구 설정까지 건드렸음 - 악성코드는 앤트로픽 클로드 코드 설정 파일과 MS 비주얼 스튜디오 코드 작업 설정 파일을 수정함 - 사용자가 프로젝트를 열거나 개발 도구를 실행할 때마다 악성코드가 자동 실행되도록 만든 것임 - 그래서 패키지 삭제나 node_modules 제거만으로는 복구됐다고 보기 어려움 - 공격자는 보안 솔루션 존재 여부도 먼저 확인했음 - 크라우드스트라이크, 센티넬원, 카본블랙 같은 보안 솔루션이 있는지 체크한 뒤 악성 행위를 진행함 - 일부 환경에서는 비밀번호 없이 관리자 권한을 얻으려는 시도도 발견됨 - 시작점은 레드햇 직원의 깃허브 계정 탈취일 가능성이 높게 거론됨 - 화이트인텔은 해당 직원의 깃허브 인증정보와 세션 쿠키가 2026년 4월과 5월 인포스틸러 로그에서 발견됐다고 밝힘 - 공격자는 이를 이용해 레드햇 인사이트 관련 저장소에 악성 커밋을 삽입한 것으로 추정됨 - 일부 커밋은 정상 코드 리뷰 절차를 우회한 채 반영된 것으로 조사됨 - 이건 단발 사건이라기보다 최근 오픈소스 공급망 공격 흐름의 일부임 - 올해 아쿠아 트리비, 체크막스 KICS, 비트워든, SAP, 탄스택, 깃허브, Nx 콘솔 등이 유사한 공격 영향을 받았음 - 지난달에는 메갈로돈 공격이 깃허브 액션 워크플로우를 악용해 CI/CD 비밀정보를 탈취한 사실도 확인됨 - CISA도 개발 환경, CI/CD 파이프라인, 코드 확장 프로그램, 자동화 워크플로우가 집중 표적이 되고 있다고 경고함 --- ## 기술 맥락 - 이번 공격이 위험한 이유는 개발자 PC를 최종 목표로 보지 않았기 때문이에요. 개발자 환경은 깃허브, 클라우드, 쿠버네티스, CI/CD로 연결돼 있거든요. 그래서 로컬에서 npm 패키지 하나가 실행되는 순간 회사 배포 권한까지 이어질 수 있어요. - npm 설치 스크립트는 원래 빌드나 네이티브 모듈 준비에 쓰이지만, 그만큼 공격자에게도 좋은 실행 지점이에요. 개발자는 패키지를 설치했을 뿐인데 postinstall 같은 훅에서 토큰 수집 코드가 돌 수 있거든요. 신뢰된 패키지라도 계정이 털리면 방어가 어려워져요. - CI/CD 비밀정보가 노출되면 피해 범위가 확 커져요. 깃허브 액션 토큰이나 클라우드 키는 단순 로그인 정보가 아니라 배포 권한인 경우가 많거든요. 공격자가 워크플로우 파일을 바꾸면 다음 빌드부터 악성 동작이 자동화될 수도 있어요. - VS 코드와 클로드 코드 설정을 건드린 건 지속성을 확보하려는 선택이에요. 패키지를 삭제해도 프로젝트를 다시 열 때 실행되게 만들면 복구가 훨씬 까다로워져요. 그래서 이런 사고에서는 토큰 폐기, 저장소 설정 확인, 개발 도구 설정 점검을 한 번에 해야 해요. ## 핵심 포인트 - npm 패키지 설치만으로 악성 스크립트가 실행되는 공급망 공격이 발생함 - 깃허브 토큰, AWS·애저·구글 클라우드 자격증명, SSH 키, 쿠버네티스 설정 파일 등이 탈취 대상이었음 - 악성코드는 깃허브 워크플로우와 설정 파일을 조작해 추가 감염을 시도함 - VS 코드와 클로드 코드 설정을 수정해 프로젝트를 열 때마다 악성코드가 다시 실행되도록 만들었음 ## 인사이트 개발자 로컬 머신은 이제 그냥 개인 PC가 아니라 회사 인프라로 들어가는 입구야. 패키지 하나 잘못 설치했을 때 깃허브, CI/CD, 클라우드 권한까지 연쇄로 털릴 수 있다는 걸 보여주는 꽤 현실적인 경고임.