AI 에이전트의 자율적 npm install이 초래한 공급망 공격과 방어 전략

Context

AI 코딩 에이전트가 인간의 승인 없이 npm install을 자율적으로 수행하는 환경 조성. 유지 관리자 계정 탈취를 통한 악성 패키지 배포 시 탐지 가능성 급감. MCP 커넥터의 도구 설명란에 숨겨진 지시문을 삽입하는 새로운 공격 벡터 등장.

Technical Solution

• postinstall 훅을 이용해 RAT(WAVESHAPER.V2)를 배포한 뒤 흔적을 삭제하는 자기 파괴형 페이로드 설계
• MCP 도구 메타데이터의 description 필드에 시스템 프롬프트를 삽입하여 SSH 키 탈취 등 비정상 동작 유도
• 단순 CVE 데이터베이스 기반 스캔을 넘어 버전 간 행동 변화를 분석하는 로컬 기반 SCA(Software Composition Analysis) 도입
• SLSA provenance 증명 여부 확인 및 이전 버전 대비 신규 postinstall 스크립트 포함 여부 검증
• lockfile 업데이트 시점에 즉시 실행되는 로컬 게이트웨이 설계를 통해 패키지 실행 전 차단
• AI 에이전트의 쉘 권한을 최소화하여 종속성 설치 시 권한 상승 방지

Impact

• axios 악성 패키지 노출 시간: 179분
• axios 주간 설치 횟수: 1억 회 이상

Key Takeaway

자율적 에이전트 워크플로우에서는 인간의 직관적 의심 단계를 대체할 자동화된 로컬 검증 게이트 설계가 필수적임.