이로 인해 설치 시 정보 탈취형 악성코드 러스트(Rust)를 자동 실행하는 오염된 배포판이 유포돼 글로벌 공급망 생태계의 심각한 위협으로 부상했다.

공격자들은 유출된 배포 인증 정보로 정상적인 검증 절차를 우회한 뒤, 사전 설치 스크립트를 악용해 윈도우, 맥 오에스, 리눅스용 악성 파일을 강제 주입했다.
보안 업체 소켓(Socket)에 따르면 연구원들이 오염된 패키지가 게시된 지 6분 만에 이를 포착했으나, 악성코드가 설치 권한을 그대로 이어받아 구동되면서 해당 시간 내에 다운로드한 환경은 이미 감염된 것으로 확인됐다.
무단 추가된 악성 파일들은 공식 깃허브(GitHub) 저장소 기록에 존재하지 않으며, 오직 엔피엠 배포 지면에만 교묘히 삽입됐다. 해커들은 투입된 러스트 기반의 이 악성코드는 개발자 PC를 샅샅이 뒤져 클라우드 인증 정보와 메타마스크 등 가상자산 지갑의 개인 키를 탈취했다.
특히 커서(Cursor)와 클로드 데스크톱 등 최신 인공지능(AI) 코딩 도구의 설정 파일을 뒤져 API 키와 인증 정보를 집중 약탈했다.
리눅스 환경을 타격한 악성 파일은 일반 권한을 넘어 메모리에서 운영체제 커널 내부로 통제권을 쥐는 eBPF 프로그램을 직접 로드했다.
해커들은 컴퓨터를 껐다 켜도 악성코드가 자동으로 다시 실행되는 끈질긴 재구동 장치를 심었으며, 사법당국의 추적을 피하기 위해 익명성 차단망인 토르 네트워크를 통해 기밀을 빼돌렸다.
해커들은 7월 11일 최초 유포 이후 약 3시간 동안 총 5개의 악성 버전을 연쇄적으로 밀어 올리며, 스크립트 실행 차단 옵션까지 완벽히 우회했다.
제이스크램블러 측은 유출된 인증 정보를 폐기하고 사용 자제를 설정했으나, 악성 버전이 엔피엠 저장소에 잔존해 치명적인 사각지대를 남겼다.
보안 전문가들은 피해를 방지하기 위해 록파일 내 오염된 버전 기록을 찾아내 삭제하고, 안전한 8.22.0 버전으로 업그레이드하며 접근 가능한 모든 인증 토큰을 전면 교체하라고 강조했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














