SECURITY·중요도 8·2026. 05. 29.·r/programming

Someone hid a full RAT inside a fake npm package and exfiltrated victim data to HuggingFace

── KO ──────────────────

악의적인 npm 패키지가 숨겨진 RAT를 통해 데이터를 HuggingFace에 유출했다.

악성 npm 패키지인 'js-logger-pack'이 29개 버전을 거치면서 로그 패키지인 척하며 실제로는 RAT를 배포했다. 이 RAT는 'MicrosoftSystem64'라는 81MB의 이진 파일로, Node.js 응용 프로그램처럼 동작한다. 또한, 이 RAT는 데이터를 C2 서버가 아닌 HuggingFace의 개인 데이터셋으로 유출하는 방식으로 작동해 정상적인 HTTPS 요청처럼 보인다. 해당 패키지를 설치했던 사용자들은 자격 증명과 API 토큰을 회전시켜야 한다.

── EN ──────────────────

A malicious npm package hid a RAT that exfiltrated data to HuggingFace.

The malicious npm package called 'js-logger-pack' disguised itself as a harmless logger while deploying a RAT. This RAT, known as 'MicrosoftSystem64', is an 81MB binary that behaves like a Node.js application. It cleverly exfiltrates data to private HuggingFace datasets instead of a C2 server, making the traffic appear as normal HTTPS requests. Users who installed this package should rotate their credentials and API tokens.

원문 보기 →목록으로