웹3 개발 도구인 척한 악성 npm 패키지, 이제 AI 에이전트까지 노린다

• 웹3 개발자를 노린 악성 npm 패키지 캠페인이 발견됐는데, 포인트는 이제 공격자가 AI 개발 환경까지 같이 본다는 점임

  • 이스트시큐리티가 확인한 캠페인이고, 공격자는 6일 동안 악성 npm 패키지 22종을 배포함
  • 대상은 웹3(Web3)와 탈중앙화금융(DeFi) 개발자였고, 패키지 이름은 Hardhat, Ethers.js, Foundry 같은 실제 생태계 도구를 떠올리게 만들었음

• 공격자는 패키지만 올린 게 아니라, GitHub 저장소와 정적 페이지까지 만들어 정상 프로젝트처럼 꾸몄음

  • 개발자가 검색해서 봤을 때 “대충 만든 악성 패키지”처럼 보이지 않게 신뢰 신호를 여러 겹으로 만든 셈임
  • 웹3 쪽은 개인키, 지갑 복구 구문, 거래소 API 키 같은 고가치 비밀값이 많아서 이런 위장이 특히 위험함

• 특히 눈에 띄는 건 MCP 기반 보안 감사 도구처럼 보이는 패키지였음

  • 개발자가 AI 에이전트에게 “환경변수나 자격증명 좀 점검해줘”라고 맡기는 상황을 노린 구조임
  • 해당 도구에는 호출 시 입력값과 프로젝트 메타데이터를 외부 웹훅으로 전송하는 코드가 포함돼 있었음

• 저장소 설정 파일에도 악성 지시문이 들어가 있었음

  • 프로젝트 지침이 AI 작업 맥락에 반영되면, 민감 정보를 외부로 보고하도록 유도하는 식임
  • 요즘 AI 코딩 도구가 README, 설정 파일, 프로젝트 지침을 꽤 적극적으로 읽는다는 점을 역이용한 거라 꽤 찝찝함

• 일부 패키지는 로컬 AI 서빙 환경까지 정찰하려 했음

  • 후속 스크립트가 내부 네트워크에서 실행 중인 AI 서비스 엔드포인트를 찾고, 프롬프트 주입을 시도하는 내용이 포함됐음
  • 다만 구현 오류가 있어서 실제 성공 여부는 확인되지 않았다고 함

• 대응은 꽤 현실적인 쪽으로 가야 함

  • 의심 패키지 설치 여부를 확인하고, 노출 가능성이 있는 자격증명은 교체해야 함
  • AI 도구 연동 설정, 프로젝트 지침 파일, 외부 도구 호출 권한을 같이 점검해야 함
  • 위험 도메인 차단도 필요하지만, 근본적으로는 AI 에이전트가 불필요하게 비밀값에 접근하지 못하게 권한을 줄이는 게 핵심임

---

기술 맥락

• 이번 사건에서 중요한 선택지는 “AI 에이전트에게 어디까지 권한을 줄 것인가”예요. 에이전트가 개발자 대신 파일을 읽고 도구를 호출할수록 편해지지만, 그만큼 악성 패키지나 지침 파일이 끼어들 여지도 커지거든요.

• MCP 같은 도구 연결 구조는 AI 개발 환경을 자동화하는 데 유용해요. 문제는 보안 감사 도구처럼 보이는 패키지가 실제로는 입력값과 프로젝트 메타데이터를 외부로 보내도록 만들어질 수 있다는 점이에요.

• 그래서 의존성 검사만으로는 부족해요. 이제는 패키지 코드, AI가 읽는 프로젝트 지침, 에이전트가 호출 가능한 외부 도구, 환경변수 접근 범위를 한 세트로 봐야 해요.

• 특히 개인키, 지갑 복구 구문, 거래소 API 키처럼 유출 즉시 피해가 나는 값은 AI 작업 맥락에 들어가지 않게 막는 게 중요해요. 편의성보다 권한 최소화가 먼저인 구간이에요.