AI 기반 PromptMink 멀웨어 캠페인

사이버 보안 연구원들은 Anthropic의 Claude Opus 대규모 언어 모델(LLM)이 공동 작성한 코드를 통해 악성 종속성이 프로젝트에 삽입된 후 npm 패키지 내부에 숨겨진 악성 코드를 발견했습니다. 이번 발견은 AI 기반 개발 워크플로의 오용을 통해 소프트웨어 공급망 위협이 어떻게 진화하고 있는지를 보여줍니다.

이번 캠페인의 핵심 패키지인 '@validate-sdk/v2'는 npm에 해싱, 유효성 검사, 인코딩 및 디코딩, 안전한 난수 생성 등을 위한 유틸리티 소프트웨어 개발 키트로 소개되었습니다. 하지만 실제로는 해킹된 시스템에서 민감한 비밀 정보를 탈취하도록 설계되었습니다. 조사 결과, 해당 패키지가 생성형 AI를 이용한 '바이브 코딩' 방식으로 제작되었을 가능성이 있는 것으로 나타났습니다. 이 패키지는 2025년 10월에 npm에 처음 업로드되었습니다.

PromptMink, 북한의 위협 활동과 연관

연구원들은 이 캠페인을 PromptMink라고 명명했으며, 북한의 위협 행위자 Famous Chollima(Shifty Corsair로도 알려짐)와 연관이 있다고 보고 있습니다. 이 그룹은 이전에 장기간 지속된 Contagious Interview 작전과 사기성 IT 직원 사기 사건과 연루된 바 있습니다.

이번 캠페인은 오픈 소스 생태계, 특히 암호화폐 및 Web3 개발과 관련된 환경에 대한 지속적인 관심을 보여줍니다.

AI가 공동 작성한 커밋에서 위험한 의존성이 발생했습니다.

악성 패키지는 2월 28일 자율 거래 에이전트 저장소에 커밋되면서 삽입되었습니다. 해당 커밋은 앤스로픽의 클로드 오푸스 모델이 공동 작성한 것으로 알려졌습니다. 이 패키지가 삽입되면 공격자는 암호화폐 지갑에 접근하여 자금을 탈취할 수 있습니다.

의존성 체인은 여러 패키지를 거쳐 이동했습니다. '@validate-sdk/v2'는 '@solana-launchpad/sdk' 내에 나열되었고, 이는 다시 openpaw-graveyard라는 세 번째 패키지에서 사용되었습니다. 이 패키지는 Tapestry 프로토콜을 통해 Solana 블록체인 상에서 소셜 온체인 신원을 구축하고, Bankr를 통해 암호화폐를 거래하며, Moltbook에서 다른 에이전트와 상호 작용할 수 있는 자율적인 AI 에이전트로 설명되었습니다.

2026년 2월에 추가된 소스 코드 커밋으로 인해 악성 종속성이 추가되었고, 이로 인해 악성 코드가 실행되어 지갑 자산이 노출될 수 있는 자격 증명이 유출되었습니다.

탐지를 피하기 위해 고안된 계층적 감염 전략

공격자들은 단계별 패키지 구조를 사용했습니다. 초기 패키지는 겉보기에는 깨끗해 보였고 명백한 악성 코드는 포함되어 있지 않았습니다. 대신, 실제 악성 기능이 저장된 보조 패키지를 임포트했습니다. 악성 보조 패키지 중 하나가 발견되거나 제거되면, 곧바로 다른 패키지로 교체했습니다.

이번 캠페인에서 확인된 1차 지원 패키지 중 일부는 다음과 같습니다.

@solana-launchpad/sdk
@meme-sdk/거래
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk

이 패키지들은 암호화폐 관련 기능을 제공한다고 주장했으며, axios 및 bn.js와 같은 신뢰할 수 있는 라이브러리를 다수 포함하여 합법적인 것처럼 보이게 했습니다. 하지만 이러한 신뢰할 수 있는 라이브러리들 사이에는 소수의 악성 라이브러리가 숨겨져 있었습니다.

공격자들이 사용한 은밀한 기법

위협 행위자들은 의심을 줄이고 지속성을 높이기 위해 여러 가지 방법을 사용했습니다.

• 이미 널리 사용되는 정식 라이브러리에 있는 함수의 악성 버전을 만드는 것
• 신뢰할 수 있는 도구와 매우 유사한 패키지 이름과 설명을 사용하여 타이포스쿼팅을 수행했습니다.
• 악성코드를 겉보기에는 무해해 보이는 로더와 2단계 페이로드로 분리합니다.
• 빠르게 회전하거나 제거되거나 감지된 보조 패키지

해당 캠페인과 관련된 것으로 알려진 첫 번째 패키지인 '@hash-validator/v2'는 2025년 9월에 업로드되었습니다.

npm을 넘어선 확장과 멀웨어 진화

연구원들은 몇 달 후 이러한 활동의 징후를 발견했으며, 개발자 컴퓨터에서 악성 코드를 실행하고 중요한 데이터를 훔치기 위해 전이적 종속성을 사용하는 것을 확인했습니다. 이후 이 캠페인은 유사한 기능을 가진 scraper-npm이라는 악성 패키지를 통해 Python 패키지 인덱스로 확산되었으며, 이 패키지는 2026년 2월에 업로드되었습니다.

최근 버전에서는 SSH를 통해 지속적인 원격 접근 권한을 확보하고 Rust로 컴파일된 페이로드를 사용하여 감염된 시스템에서 전체 소스 코드 프로젝트와 지적 재산을 탈취하는 것으로 알려졌습니다.

기본형 스틸러에서 다중 플랫폼 위협으로

초기 버전의 악성코드는 난독화된 자바스크립트 스틸러로, 작업 디렉토리를 재귀적으로 검색하여 .env 및 .json 파일을 찾은 후, 이전에 Famous Chollima 활동과 연관된 Vercel 호스팅 도메인으로 유출하기 위한 준비를 했습니다.

이후 버전에서는 PromptMink가 Node.js 기반의 단일 실행 파일 애플리케이션으로 내장되었습니다. 그러나 이로 인해 페이로드 크기가 약 5.1KB에서 거의 85MB로 증가하여 전달 효율성이 떨어졌습니다. 이러한 한계를 극복하기 위해 공격자들은 Rust로 작성된 사전 컴파일된 Node.js 애드온을 사용할 수 있는 NAPI-RS로 전환한 것으로 알려져 있습니다.

오픈소스 공급망에 대한 위험 증가

단순한 정보 탈취에서 시작하여 윈도우, 리눅스, macOS를 모두 공격하는 특수 멀티 플랫폼 악성코드로 발전한 이 캠페인은 기능이 상당히 향상되었음을 보여줍니다. 이제 이 악성코드는 자격 증명 탈취, SSH 백도어 배포, 심지어 개발 프로젝트 전체 탈취까지 수행합니다.

연구진은 Famous Chollima가 AI로 생성된 코드와 계층형 패키지 배송 방식을 결합하여 탐지를 회피하고 인간 개발자보다 자동화된 코딩 도우미를 더 효과적으로 조작하고 있다고 결론지었습니다.