Claude Code 사칭 악성코드 급증: InstallFix 캠페인부터 npm 타이포스쿼팅까지
목차
개요
Anthropic의 AI 코딩 에이전트 Claude Code를 사칭한 지능형 위협이 급증하고 있다. 2026년 3월 31일 소스맵 파일 유출 이후, 공격자들이 이를 악용한 다양한 공급망 공격을 펼치고 있다. InstallFix 캠페인, 가짜 GitHub 저장소, 확장 프로그램 사칭, npm 타이포스쿼팅 등 다양한 공격 방식이 확인되었다.
사건 발단
2026년 3월 31일, Anthropic이 npm 패키지에 소스맵 파일(cli.js.map)을 실수로 포함해 배포했다. 약 51만 행에 달하는 내부 소스 코드가 공개되었다. 공격자들은 이 유출된 정보를 바탕으로 정교한 사칭 캠페인을 빠르게 전개하기 시작했다.
주요 공격 방식
InstallFix 캠페인
공격자들은 개발자가 설치 명령어를 복사해 터미널에 바로 붙여넣는 습관을 악용한다. 공격은 네 단계로 진행된다.
첫째, 구글 광고를 통해 검색 최상단에 피싱 사이트를 노출한다. 둘째, 공식 문서를 완벽하게 복제한 클론 사이트를 운영하여 신뢰를 구축한다. 셋째, 악성 원라이너(One-liner) 명령어를 제공하여 실행을 유도한다. 넷째, 실행 후 실제 Claude 사이트로 리디렉션하여 흔적을 삭제한다.
OS별 맞춤형 공격
공격은 운영체제에 따라 다른 악성코드를 배포한다.
Windows 환경 (Amatera 스틸러)
mshta.exe를 활용한 LOLBIN(Living Off the Land Binaries) 전술을 사용한다. 브라우저 비밀번호, 쿠키, 암호화폐 지갑 정보를 탈취한다.
macOS 환경 (MacSync/Infiniti 스틸러)
Base64 인코딩 셸 스크립트를 사용한다. 키체인 데이터 및 시스템 파일을 탈취한다.
npm 타이포스쿼팅
공격자들은 실제 패키지와 유사한 이름의 악성 패키지를 npm에 등록했다.
| 악성 패키지명 | 목적 |
|---|---|
| audio-capture-napi | 오디오 데이터 탈취 |
| image-processor-napi | 이미지 파일 스캔 |
| url-handler-napi | 네트워크 통신 가로채기 |
| modifiers-napi | 키로깅 |
기타 공격 벡터
가짜 GitHub 저장소를 통한 공격도 활발하다. “unlocked”, “enterprise feature” 등의 문구로 개발자를 유인한다. Vidar 인포스틸러와 GhostSocks 프록시 악성코드가 배포되고 있다. 엔트로픽 공식 앱을 사칭하는 확장 프로그램을 통해 PowerShell과 mshta를 실행하는 사례도 보고되었다.
예방 및 대응 방안
감염을 예방하기 위해 다음 사항을 준수해야 한다.
공식 채널만 이용해야 한다. Anthropic 공식 홈페이지에서만 Claude Code를 설치해야 한다. 명령어를 실행하기 전에 curl/wget이 가리키는 도메인을 반드시 확인해야 한다. 패키지 설치 시 ‘latest’ 대신 명시적 버전을 지정해야 한다. EDR 솔루션을 통해 비정상 프로세스 체인을 모니터링해야 한다.
감염이 의심되는 경우의 대응 절차는 다음과 같다. 즉시 네트워크를 격리한다. 모든 관련 계정의 비밀번호를 변경한다. OS 클린 재설치를 권장한다.
결론
Claude Code의 소스 유출 이후 이를 악용한 사칭 공격이 빠르게 확산되고 있다. 공격 방식이 OS별 맞춤형, 타이포스쿼팅, 피싱 등 다양하게 진화하고 있어 각별한 주의가 필요하다. 개발자들은 반드시 공식 채널을 통해서만 도구를 설치하고, 터미널에 명령어를 붙여넣기 전에 출처를 검증해야 한다.