해킹 집단 'TeamPCP'가 소프트웨어 공급망을 전례 없는 규모로 공격하여 수백 개의 오픈소스 도구를 감염시키고 기업들을 표적으로 삼고 있습니다. 이들은 개발자들이 자주 사용하는 도구에 악성코드를 심는 순환적 방식을 통해 마이크로소프트의 깃허브(GitHub), 오픈AI 등 수많은 기업의 내부망에 침투했습니다. 자동화된 웜 바이러스까지 동원되는 이들의 연쇄 공격은 전 세계 소프트웨어 생태계의 근간을 위협하는 매우 심각한 보안 사태로 평가됩니다.
2026년 5월 19일, npm 계정이 해킹당해 317개 패키지에 걸쳐 637개의 악의적인 버전이 단 22분 만에 자동으로 퍼블리싱되었습니다. 이 악성코드는 AWS 자격 증명, GitHub 토큰, SSH 키 등을 광범위하게 탈취할 뿐만 아니라, Claude Code 및 VS Code와 같은 AI 개발 도구를 하이재킹하여 지속적으로 감염을 유지하는 정교한 공격입니다. 특히 공개 GitHub 저장소를 C2(명령 및 제어) 채널로 위장하고 CI/CD 파이프라인에 침투하여 서명된 합법적인 아티팩트를 위조하므로 소프트웨어 공급망 전체에 심각한 위협을 줍니다.
오픈AI(OpenAI)는 최근 서드파티 개발자 도구인 Axios의 소프트웨어 공급망 공격 사태와 관련하여 보안 이슈를 식별하고 즉각적인 대응에 나섰습니다. 이번 사태로 인해 오픈AI의 사용자 데이터 유출이나 시스템 침해는 확인되지 않았으나, 안전을 위해 macOS 앱 서명 인증서를 교체합니다. 따라서 모든 macOS 사용자는 5월 8일까지 최신 버전의 앱으로 업데이트해야 정상적인 서비스 이용과 보안 보호를 받을 수 있습니다.