샤이-후룻 하데스 새로운 변종 공격 PyPI, 파이썬을 이용해 번(Bun) 크로스 런타임 체인을 통해 자격 증명 탈취

느린 안개에 따르면, Shai-Hulud Hades의 새로운 변종이 PyPI를 공격하고 있다고 합니다. 악성 패키지는 .pth 파일을 배포하여 Python 시작 시 자동으로 실행되며, 로컬에 Bun이 설치되어 있는지 확인합니다. 설치되어 있지 않으면 GitHub Releases에서 공식 Bun 바이너리 파일을 다운로드한 후, 다층 난독화된 JavaScript 페이로드를 실행하여 GitHub, npm, AWS 및 클라우드 서비스 자격 증명을 탈취합니다.

느린 안개는 이 변종이 이전 Shai-Hulud 공격에서 사용된 동일한 RSA 공개 키와 인프라를 사용하며, 암호화 외부 전송, 지속성, CI/CD 주입 및 GitHub Actions 주입 등의 능력을 갖추고 있다고 밝혔습니다.