 연구원 찰리에릭슨(Charlie Eriksen)은 게시글을 통해 \"샤이 훌루드(Shai Hulud)\" 악성 웜이 400개 이상 패키지를 감염시켰으며, 이 중 ENS 기반 패키지 최소 10개 이상이 포함됐다고 밝혔다. 영향을 받은 ENS 패키지에는 콘텐츠해시(주간 다운로드 약 36,000건), 주소 인코더(주', 'https://img.blockstreet.co.kr/photo/2025/11/25/20251125000015_0640.png', 'https%3A%2F%2Fwww.blockstreet.co.kr%2Fnews%2Fview%3Fud%3D2025112517014579639'));){kind=link}
ENS 등 JS 패키지 400개 이상 악성코드 감염
);)
영향을 받은 ENS 패키지에는 콘텐츠해시(주간 다운로드 약 36,000건), 주소 인코더(주간 37,500건), ensjs(3만 건 이상), ens-validation(1,750건), ethereum-ens(12,650건), ens-contracts(3,100건) 등이 포함되며, ENS와 무관한 암호화 관련 패키지 crypto-addr-codec도 주간 3만 5,000 건 다운로드 기록 속에 감염된 것으로 확인됐다. 에릭슨은 감염 패키지가 필요한 종속 패키지도 함께 손상됐다고 경고했다.
이번 공격은 지난 9월 보고된 5,000만 달러 탈취 NPM 공급망 공격 이후 확산된 동일 계열 공격 흐름으로, AWS는 당시 사건 직후 샤이 훌루드 웜이 자율적으로 확산되고 있다고 밝힌 바 있다. 이전 공격이 암호화폐 자산 탈취에 집중했다면, 이번 악성코드는 개발 환경 전반의 자격 증명 정보 탈취를 목적으로 한다.
AMLBot CEO 슬라바뎀추크(Slava Demchuk)는 "감염 환경에 월렛 키 등 민감 정보가 포함되면, 이 악성코드는 이를 '비밀'로 인식해 탈취한다"고 설명했다. 그는 "감염된 패키지가 설치된 시스템은 모두 침해된 것으로 간주해야 한다"며 추가 피해 가능성을 경고했다.
영향은 암호화폐 분야를 넘어 일반 개발 생태계로 확대됐다. 기업 자동화 플랫폼 잽이어(Zapier) 소속 패키지 등 비암호화 패키지도 다수 포함되며 일부는 주간 150만 건 이상 다운로드된다. 사이버보안 업체 위즈(Wiz)는 "약 25,000개 저장소에서 감염이 확인됐으며, 350명 이상이 피해 대상에 포함됐다"고 밝혔다.
에릭슨은 "이번 샤이 훌루드 공격 규모는 이전 사건을 가볍게 보일 정도"라며 "npm 기반 환경 전반에 즉각적인 조사와 조치가 필요하다"고 강조했다.
정하연 기자 yomwork8824@blockstreet.co.kr