--- title: "웹3 개발 도구인 척한 악성 npm 패키지, 이제 AI 에이전트까지 노린다" published: 2026-05-27T03:05:03.693Z canonical: https://jeff.news/article/3291 --- # 웹3 개발 도구인 척한 악성 npm 패키지, 이제 AI 에이전트까지 노린다 이스트시큐리티가 웹3와 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 22종을 발견했다. 공격자는 Hardhat, Ethers.js, Foundry 같은 익숙한 도구 이름을 사칭했고, 여기서 더 나아가 AI 개발도구의 프로젝트 지침과 외부 도구 호출 구조까지 공격 경로로 쓰려 했다. - 웹3 개발자를 노린 악성 npm 패키지 캠페인이 발견됐는데, 포인트는 이제 공격자가 AI 개발 환경까지 같이 본다는 점임 - 이스트시큐리티가 확인한 캠페인이고, 공격자는 6일 동안 악성 npm 패키지 22종을 배포함 - 대상은 웹3(Web3)와 탈중앙화금융(DeFi) 개발자였고, 패키지 이름은 Hardhat, Ethers.js, Foundry 같은 실제 생태계 도구를 떠올리게 만들었음 - 공격자는 패키지만 올린 게 아니라, GitHub 저장소와 정적 페이지까지 만들어 정상 프로젝트처럼 꾸몄음 - 개발자가 검색해서 봤을 때 “대충 만든 악성 패키지”처럼 보이지 않게 신뢰 신호를 여러 겹으로 만든 셈임 - 웹3 쪽은 개인키, 지갑 복구 구문, 거래소 API 키 같은 고가치 비밀값이 많아서 이런 위장이 특히 위험함 > [!WARNING] > 이번 캠페인의 위험한 부분은 악성 패키지가 설치되는 순간만이 아니라, AI 에이전트가 프로젝트를 읽고 도구를 호출하는 흐름까지 공격 경로로 봤다는 점임. - 특히 눈에 띄는 건 MCP 기반 보안 감사 도구처럼 보이는 패키지였음 - 개발자가 AI 에이전트에게 “환경변수나 자격증명 좀 점검해줘”라고 맡기는 상황을 노린 구조임 - 해당 도구에는 호출 시 입력값과 프로젝트 메타데이터를 외부 웹훅으로 전송하는 코드가 포함돼 있었음 - 저장소 설정 파일에도 악성 지시문이 들어가 있었음 - 프로젝트 지침이 AI 작업 맥락에 반영되면, 민감 정보를 외부로 보고하도록 유도하는 식임 - 요즘 AI 코딩 도구가 README, 설정 파일, 프로젝트 지침을 꽤 적극적으로 읽는다는 점을 역이용한 거라 꽤 찝찝함 - 일부 패키지는 로컬 AI 서빙 환경까지 정찰하려 했음 - 후속 스크립트가 내부 네트워크에서 실행 중인 AI 서비스 엔드포인트를 찾고, 프롬프트 주입을 시도하는 내용이 포함됐음 - 다만 구현 오류가 있어서 실제 성공 여부는 확인되지 않았다고 함 - 대응은 꽤 현실적인 쪽으로 가야 함 - 의심 패키지 설치 여부를 확인하고, 노출 가능성이 있는 자격증명은 교체해야 함 - AI 도구 연동 설정, 프로젝트 지침 파일, 외부 도구 호출 권한을 같이 점검해야 함 - 위험 도메인 차단도 필요하지만, 근본적으로는 AI 에이전트가 불필요하게 비밀값에 접근하지 못하게 권한을 줄이는 게 핵심임 --- ## 기술 맥락 - 이번 사건에서 중요한 선택지는 “AI 에이전트에게 어디까지 권한을 줄 것인가”예요. 에이전트가 개발자 대신 파일을 읽고 도구를 호출할수록 편해지지만, 그만큼 악성 패키지나 지침 파일이 끼어들 여지도 커지거든요. - MCP 같은 도구 연결 구조는 AI 개발 환경을 자동화하는 데 유용해요. 문제는 보안 감사 도구처럼 보이는 패키지가 실제로는 입력값과 프로젝트 메타데이터를 외부로 보내도록 만들어질 수 있다는 점이에요. - 그래서 의존성 검사만으로는 부족해요. 이제는 패키지 코드, AI가 읽는 프로젝트 지침, 에이전트가 호출 가능한 외부 도구, 환경변수 접근 범위를 한 세트로 봐야 해요. - 특히 개인키, 지갑 복구 구문, 거래소 API 키처럼 유출 즉시 피해가 나는 값은 AI 작업 맥락에 들어가지 않게 막는 게 중요해요. 편의성보다 권한 최소화가 먼저인 구간이에요. ## 핵심 포인트 - 공격자는 6일 동안 악성 npm 패키지 22종을 배포했다 - 패키지는 Web3 개발자가 자주 쓰는 Hardhat, Ethers.js, Foundry 이름을 빌려 정상 도구처럼 위장했다 - MCP 기반 보안 감사 도구처럼 보이게 만든 패키지에는 입력값과 프로젝트 메타데이터를 외부 웹훅으로 보내는 코드가 들어 있었다 - 일부 패키지는 로컬 AI 서빙 환경을 정찰하고 내부 네트워크의 AI 서비스 엔드포인트를 찾으려 했다 ## 인사이트 이건 단순한 패키지 타이포스쿼팅 뉴스가 아니라, AI 에이전트가 개발 환경 안에서 권한을 갖기 시작했을 때 생기는 새 공격면을 보여주는 사례다. 이제 의존성 검증뿐 아니라 에이전트가 읽는 지침 파일과 호출하는 도구까지 보안 리뷰 대상이 됐다.