SlowMist: OpenClaw 생태계 플러그인 센터 ClawHub, 대규모 공급망 중독 공격 피해

Odaily 보도에 따르면 SlowMist 모니터링 결과, 오픈소스 AI 에이전트 프로젝트 OpenClaw의 공식 플러그인 센터 ClawHub가 공급망 중독 공격의 표적이 되고 있습니다. 플랫폼의 엄격한 심사 메커니즘이 부재하여 다수의 악성 스킬(Skills)이 침투하여 악성 코드를 유포하는 데 이용되고 있습니다. 모니터링 결과, 현재 341개의 악성 스킬이 식별되었으며, 이들은 주로 암호화폐 자산, 보안 점검 또는 자동화 도구로 위장하고 있습니다.

SlowMist 보안 팀의 분석에 따르면, 공격자는 SKILL.md 파일을 실행 명령어 진입점으로 활용하여 Base64 인코딩을 통해 악성 명령어를 은닉하고, 2단계 로딩 메커니즘을 채택하여 탐지를 회피하고 있습니다. 첫 번째 단계에서는 curl을 통해 페이로드를 획득하고, 두 번째 단계에서는 dyrtvwjfveyxjf23이라는 샘플을 배포하여 사용자로 하여금 시스템 비밀번호를 입력하도록 유도하고 로컬 문서 및 시스템 정보를 탈취하는 것을 목표로 합니다.

현재 MistEye 시스템이 고위험 경보를 발령하여 472개의 악성 스킬 및 관련 지표를 포함하고 있습니다. SlowMist는 사용자에게 복사하여 실행해야 하는 모든 명령어를 심사하고, 시스템 권한 획득 요청에 주의하며, 공식 채널을 통해 도구를 획득할 것을 권고합니다.