피드로 돌아가기
The RegisterSecurity
원문 읽기
npm Supply Chain 공격으로 인한 내부 자격 증명 유출 및 인증서 갱신 대응
OpenAI caught in TanStack npm supply chain chaos after employee devices compromised
AI 요약
Context
TanStack npm 패키지 생태계를 겨냥한 Mini Shai-Hulud 캠페인으로 인한 공급망 오염 발생. OpenAI 내부의 단계적 보안 컨트롤 도입 과정에서 일부 기기에 보안 업데이트가 미적용된 틈을 이용한 공격 시나리오임.
Technical Solution
- Poisoned Packages를 통한 개발자 기기 침투 및 내부 Credential 탈취 시도 차단
- 유출된 내부 자격 증명에 대응하기 위한 macOS 기반 제품군(ChatGPT Desktop, Codex App/CLI, Atlas)의 Signing Certificate 전면 교체
- Package Management 보호 체계의 전사적 강제 적용을 통한 Malicious Dependency 유입 경로 차단
- CI/CD Pipeline 및 GitHub Actions Workflow 내의 인증 자격 증명 무결성 검증 강화
- 6월 12일까지 영향을 받은 소프트웨어의 강제 업데이트 유도로 잠재적 위협 제거
실천 포인트
1. npm/PyPI 등 외부 의존성 라이브러리의 Lock 파일 무결성 검증 및 SBOM 도입 검토
2. 개발자 기기 및 CI/CD 환경의 보안 패치 적용 상태를 실시간으로 모니터링하는 제어 체계 구축
3. Credential 유출 시 즉각적인 Certificate Rotation 및 Token Revocation 프로세스 자동화
4. Third-party 패키지의 버전 업데이트 시 보안 취약점 스캔(SCA) 도구 연동 필수화