클로드 코드(Claude Code) 사칭 악성코드 급증

 (app-place-tech.com)
2P by nextvine 19시간전 | ★ favorite | 댓글과 토론

[뉴스] 앤트로픽 '클로드 코드' 소스 유출을 틈탄 지능형 악성코드 확산 주의보

최근 앤트로픽(Anthropic)의 CLI 기반 AI 코딩 도구인 '클로드 코드(Claude Code)'의 소스 코드가 빌드 설정 실수로 유출된 사고를 기점으로, 이를 악용한 정교한 공급망 공격 및 사회공학적 공격이 급증하고 있어 개발자들의 각별한 주의가 필요

1. 사건의 발단: Bun 런타임 설정 오류로 인한 소스 유출

지난 3월 31일, 앤트로픽은 공식 npm 패키지(@anthropic-ai/claude-code v2.1.88) 배포 과정에서 소스 맵 파일(cli.js.map)을 실수로 포함했습니다.

2. 주요 공격 벡터: 'InstallFix'와 'GitHub Bait'

공격자들은 유출된 코드를 분석해 클로드 코드의 UX와 설치 메커니즘을 완벽히 복제한 뒤, 다음과 같은 경로로 악성코드를 유포하고 있습니다.

  • InstallFix 캠페인 (SEO Poisoning): 구글 광고 상단에 "Claude Code install" 키워드로 피싱 사이트를 노출합니다.
  • GitHub 가짜 리포지토리: "unlocked", "enterprise feature" 등의 문구로 유혹하며 유출본의 수정 버전인 것처럼 속여 Vidar(인포스틸러)와 GhostSocks(프록시 악성코드)가 포함된 바이너리를 배포
  • VS Code 확장 프로그램 사칭: 엔트로픽 공식 앱을 사칭하는 확장 프로그램을 통해 백그라운드에서 powershellmshta를 실행하여 파일리스(Fileless) 공격을 수행
3. 공급망 보안 위협 (npm Typosquatting)

유출된 코드 내의 내부 의존성 명칭을 확인한 공격자들이 audio-capture-napi, url-handler-napi 등 클로드 코드의 내부 모듈처럼 보이는 패키지 이름을 선점하여 '의존성 혼란(Dependency Confusion)' 공격을 준비 중인 정황도 포착

4. 대응 가이드
  • 설치 경로 검증
  • 복사-붙여넣기 주의
  • 패키지 고정
  • 연관 사고 감지

한 줄 요약: 클로드 코드 설치를 위해 구글에서 검색한 뒤 터미널에 명령어를 바로 붙여넣지 마세요. 가짜 페이지를 통한 인포스틸러 감염 위험이 매우 높습니다.

함께 보면 좋은 글 β