긴급 보안 경고: 대규모 공급망 공격 감지
사이버보안 연구소 SlowMist가 긴급 보안 경고(코드: SM-2026-352284)를 발표했습니다. 공식 성명에 따르면, Web3 및 AI 제품 개발자들을 대상으로 한 활발한 공급망 공격이 감지되었습니다. 해커들은 npm, PyPI, Crates.io 등 주요 패키지 저장소에 34개 이상의 악성 패키지와 384개의 관련 버전을 주입했으며, Solana, DeFi, AI 생태계의 개발자들을 직접 표적으로 삼았습니다.
이 사건은 4월의 심각한 보안 사태를 배경으로 발생했습니다. 당시 DeFi 부문은 28건의 해킹으로 인해 6억 3,500만 달러의 손실을 입었습니다. 5월에는 직접적인 스마트 계약 악용 사건이 감소했지만, SlowMist의 분석에 따르면 공격자들의 전술이 근본적으로 변화했습니다. 위협 행위자들은 보호된 서버 공격에서 개발자의 개인 기기를 은폐적으로 손상시키는 방식으로 초점을 옮겼습니다.
TrapDoor 악성코드의 작동 방식
SlowMist의 분석에 따르면 TrapDoor는 개발자 워크스테이션의 완전한 손상을 목표로 설계되었습니다. 이 악성코드는 암호화폐 지갑, AWS 및 GitHub 자격증명, 접근 키 등을 탈취하여 공격자가 통제하는 주소로 전송합니다. 이러한 방식은 알려진 npm 웜 ‘Mini Shai-Hulud’의 논리와 유사합니다.
악성코드는 시스템에서 은폐된 지속성을 유지하기 위해 .cursorrules 및 CLAUDE.md와 같은 AI 어시스턴트 구성 파일에 직접 자신을 기록합니다. 또한 Git 훅 및 자동화 스크립트 내에도 숨어 있습니다. 저장소에서는 Sui 및 Move용 AI 플러그인 및 빌드 유틸리티로 위장되어 있습니다.
‘vibe coding‘ 추세로 인해 이 위협이 악화되고 있습니다. 개발자들이 프롬프트를 통해 프로젝트를 조립하고 수십 개의 중첩된 라이브러리를 무분별하게 연결하는 경향이 있기 때문입니다. 결과적으로 AI 에이전트는 로컬 구성 파일에 접근할 수 있는 머신에 악성 코드를 자동으로 다운로드합니다.
권장 대응 조치
위협의 심각성을 감안하여 SlowMist는 개발팀들에게 다음을 권고합니다:
영향을 받은 패키지를 즉시 제거하고, 감염된 시스템을 격리하며, 로그를 보존하고, 3단계 복구 프로토콜을 시작할 것을 지시합니다.
