피드로 돌아가기
Malware dev tries to steal Claude users' secrets, writes npm slop, leaks own GitHub private token
The RegisterThe Register
Security

AI 생성 Malware의 GitHub Token 유출로 인한 676건의 npm 패키지 감염 사례

Malware dev tries to steal Claude users' secrets, writes npm slop, leaks own GitHub private token

2026년 5월 27일2intermediate

AI 요약

Context

Claude AI 사용자를 타겟으로 한 정보 탈취 목적의 npm 패키지 배포 사례임. 공격자는 AI 기반의 자동화된 코드 작성을 통해 정교한 위장 기법을 적용한 Malware를 설계함.

Technical Solution

  • GitHub Contents API를 활용한 로컬 파일의 원격 저장소 무단 업로드 구조 설계
  • Claude AI의 파일 처리 경로인 "/mnt/user-data" 디렉토리를 타겟팅한 재귀적 파일 탐색 로직 구현
  • 탈취 데이터의 식별을 방지하기 위한 Base64 Encoding 및 실행 세션별 랜덤 폴더 생성 기법 적용
  • 분석가의 의심을 피하기 위해 가짜 네트워크 연결 로그를 생성하는 Diagnostic Tool 위장 전략 수립
  • AI 생성 코드 특유의 러시아어 주석 등을 제거하고 의도적으로 무색무취한 기술적 주석을 배치한 은폐 시도

실천 포인트

1. npm 패키지 설치 전 해당 패키지의 생성일 및 다운로드 추이 확인

2. 환경 변수 및 하드코딩된 Token 유출 방지를 위한 Secret Scanning 도구 도입

3. AI 생성 코드의 경우 민감 정보 포함 여부를 검토하는 코드 리뷰 단계 필수 적용

태그

#Supply Chain Attack#Credential Leak#GitHub API#npm registry#Malware Analysis
원문 읽기