Svmuu讯 SlowMist 모니터링에 따르면, MistEye가 개발자를 대상으로 한 크로스 레지스트리 공급망 공격을 탐지했습니다. 공격자는 npm, PyPI 및 Crates.io를 통해 악성 패키지를 게시하여 공격을 수행했습니다. 이 공격 활동에는 34개 이상의 악성 패키지와 384개 이상의 관련 버전이 포함되어 있으며, 표적 커뮤니티는 암호화폐, DeFi, Solana, Sui/Move 및 AI 개발자입니다.
공격자의 잠재적 행위로는 암호화폐 지갑, SSH 키, 클라우드 자격 증명, GitHub/AWS 토큰, 브라우저 데이터, 환경 변수 및 개발자 키 탈취가 포함됩니다. 일부 페이로드는 .cursorrules, CLAUDE.md, Git 훅, Shell 훅, cron, systemd 및 SSH를 통한 지속성 확보를 시도했습니다.
SlowMist는 영향을 받은 패키지를 즉시 제거하고, 영향을 받은 시스템을 격리하며, 로그를 보존하고, 노출된 자격 증명을 교체하고, 깨끗한 이미지에서 CI 러너 및 개발자 머신을 재구축하며, GitHub, 클라우드, SSH 및 지갑 활동을 검토할 것을 권장합니다.