ICBM의 Dev 블로그

Mini Shai-Hulud의 귀환: npm 생태계를 강타한 자가 전파형 공급망 공격 (5/11)

Mini Shai-Hulud의 귀환: npm 생태계를 강타한 자가 전파형 공급망 공격 (5/11)도입: 왜 이 소식을 주목해야 하는가2026년 5월 11일, 개발자 커뮤니티에 충격적인 소식이 전해졌습니다. npm 생태계의 핵심 프레임워크인 TanStack의 42개 패키지에서 총 84개 버전이 악성 코드에 감염되었고, 이 공격은 불과 수시간 만에 Mistral AI, UiPath, OpenSearch, Guardrails AI 등 170개 이상의 패키지로 확산되었습니다.이름하여 Mini Shai-Hulud. 사막의 벌레를 닮은 이 자가 전파형 악성코드 무기는 이번 공격에서 현재까지 확인된 가장 정교한 공급망 공격 기법을 선보였습니다. 특히 이번 공격은 유효한 SLSA Build Level 3 증명서를 동반..

pnpm v11 — 더 빠르고 안전한 패키지 매니저pnpm v11 릴리즈 — 개발자가 알아야 할 핵심 정리pnpm이 Major 버전 11로 업데이트되었습니다. 이번 릴리즈는 성능, 보안, 개발자 경험 모두에서 의미 있는 진화를 가져왔습니다. 특히 supply chain 공격 방어 강화, SQLite 기반 저장소 인덱스 도입, 네이티브 퍼블리시 흐름 구현 등이 핵심 변화입니다. 이 글에서는 pnpm v11의 주요 변경점을 쉽게 정리합니다.pnpm v11에서 달라진 것Node.js 22 이상 필수pnpm v11은 Node.js 22 이상만을 지원합니다. Node.js 18, 19, 20, 21 사용자는 반드시 업그레이드해야 합니다. 또한 pnpm 자체가 순수 ESM(ECMAScript Module)으로 전환..

PyTorch Lightning Supply Chain Attack — Cover ImageShai-Hulud 테마 악성코드가 PyTorch Lightning에서 발견됐다 — 830만 다운로드 영향, 즉각 대응 필요2026년 4월 30일, Python 생태계에 충격적인 보안 사고가 발생했다. AI 개발자들 사이에서 널리 사랑받는 PyTorch Lightning 라이브러리의 정식 패키지인 lightning가 SHAI-HULUD 계열 악성코드대에 감염된 것이다. 이번 공격은 이전 SAP NPM 패키지 공격과 동일한 캠페인의 연장으로, 동일 범죄 그룹 TeamPCP가사업로 분석되고 있다. affected versions** 2.6.2, 2.6.3 — 2026-04-30 일요일에 PyPI에 업로드• 정정 버전:..

GitHub 이전의 오픈소스 세계 — 중심이 흔들릴 때 다시 생각하는 것들2008년, GitHub의 첫 번째 사용자가 가입한 지 18년이 지난 지금, 개발자 커뮤니티는 작은 흔들림을 경험하고 있다. Mitchell Hashimoto(Vagrant, Terraform, Vault를 만든 HashiCorp 공동 창업자)가 자신의 프로젝트 Ghostty를 GitHub에서 이전하겠다고 발표한 것은, 단순한 플랫폼 이동이 아니다. "매일 아침 눈을 뜨면 GitHub을 열었다"는 사람이 "더 이상 진지한 작업을 할 수 있는 곳이 아니다"라고 말하는 것 자체가 하나의 시대 문법에금을 내고 있다.GitHub 이전, 개발자들은 어떻게 살았나GitHub이 등장하기 전, 오픈소스 프로젝트는 지금과 전혀 다른 모습이었다. 의..