위협 인텔리전스: ClawHub 악성 스킬 공격 분석

슬로우 미스트 (SlowMist) 보안팀은 사건이 드러난 직후 분석을 실시하고 MistEye를 통해 고객에게 경고를 발령했으며, ClawHub에서 새롭게 발견된 악성 스킬을 지속적으로 추적했습니다.

저자: 야오 & 시시체

편집자: 77

배경

최근 오픈소스 AI 에이전트 프로젝트인 OpenClaw가 예상치 못한 인기를 얻으면서 공식 플러그인 센터인 ClawHub에도 대량 개발자들이 몰려들고 있습니다. 슬로우 미스트 (SlowMist) 보안팀의 모니터링 결과, ClawHub가 공급망 오염 공격을 위한 새로운 공격 대상으로 떠오르고 있는 것으로 나타났습니다. 플랫폼에 강력하고 엄격한 검토 메커니즘이 부족하여 대량 악성 스킬이 침투해 악성 코드 유포 또는 유해 콘텐츠 전송에 사용되고 있으며, 이는 개발자와 사용자 모두에게 잠재적인 보안 리스크 초래하고 있습니다.

슬로우 미스트 (SlowMist) 보안팀은 사건이 드러난 직후 분석을 실시하고 MistEye를 통해 고객에게 경고를 발령했으며, ClawHub에서 새롭게 발견된 악성 스킬을 지속적으로 추적했습니다.

OpenClaw 생태계에서 스킬에 대한 보다 정확한 용어는 AgentSkills 사양 아래의 "스킬 폴더"이며, 핵심 파일은 일반적으로 SKILL.md입니다.

SKILL.md의 핵심 리스크 코드 저장소에서 감사 및 재현 가능한 빌드 결과물이 아니라 사용자가 직접 쉽게 실행할 수 있는 일련의 명령어라는 점에 있습니다. 에이전트 생태계에서 마크다운은 종종 "설치/초기화 진입점" 역할을 하며, 이로 인해 텍스트가 "지침"에서 "명령"으로 변질될 수 있습니다. 공격자는 악성 명령어를 종속성 설치 또는 환경 설정 단계(예: curl | bash, Base64 디코딩 실행)로 위장하여 사용자를 속여 실행 과정을 완료하도록 유도함으로써 데이터 침투 및 탈취를 달성할 수 있습니다.

Koi Security의 보고서에 따르면 2,857개의 스킬을 스캔한 결과 341개의 악성 스킬이 발견되었으며, 이는 전형적인 "플러그인/확장 프로그램 시장 공급망 오염" 패턴을 반영합니다.

공격 방법 분석

400개 이상의 악성 스킬에 대한 IOC(침해 지표)를 통합 분석한 결과, 많은 샘플이 동일한 IP 주소 아래에서 소수의 고정 도메인이나 여러 개의 임의 경로를 반복적으로 가리키는 것을 발견했으며, 이는 명백한 리소스 재사용 및 수렴 특성을 보여줍니다. 이는 마치 집단 공격과 같은 배치 공격으로, 대량 악성 스킬이 동일한 도메인/IP 주소 집합을 공유하고 공격 방식이 기본적으로 동일한 양상을 보입니다.

공격자들은 배포 방식에서 GitHub Releases나 glot.io 같은 텍스트 호스팅 사이트와 같은 공개 플랫폼을 중간 매개체로 자주 이용합니다. 악성 네트워크는 일반적으로 2단계 로딩 로직을 사용하는데, 첫 번째 단계에서는 탐지를 피하기 위해 난독화된 명령어를 사용하고, 두 번째 단계에서는 위험도가 높은 페이로드를 동적으로 다운로드합니다. 이러한 전략은 스킬 셸의 노출을 크게 줄여 공격자가 백엔드 리소스를 신속하게 업데이트할 수 있도록 합니다.

또한, 스킬 명칭 역시 비교적 특정 분야에 집중되어 있으며, 주로 암호화 자산, 금융 정보, 그리고 "업데이트/보안 점검/자동화 도구"와 같이 사람들이 경계를 늦추기 쉬운 시나리오를 중심으로 구성되어 있습니다.

중독 경로는 다음과 같이 요약할 수 있습니다.

1) 악성 스킬은 SKILL.md에서 "종속성 설치/초기화"를 위장합니다.

2) Base64/세그먼트화된 스크립트를 사용하여 실제 명령어를 숨깁니다.

3) 디코딩 후 일반적인 다운로드 및 실행을 수행합니다(curl fetch → bash 실행).

4) 첫 번째 단계에서는 두 번째 단계를 위한 샘플을 추출합니다.

5) 마지막으로, 소수의 고정 IP/도메인을 사용하여 사이트를 지속적으로 업데이트하고 모든 과정을 완료합니다.

트로이목마 분석

인기 있는 "X(트위터) 트렌드" 스킬을 예로 들어보겠습니다. 겉보기에는 일반적인 스킬처럼 보이고, 사용법 설명도 예상대로입니다. 하지만 실제로는 Base64로 인코딩된 백도어 명령어가 숨겨져 있습니다.

공격자들은 Base64 인코딩을 사용하여 "가독성을 떨어뜨리는 난독화"를 시도했습니다. SKILL.md 파일이 마치 설정 문자열이나 설치 정보를 출력하는 것처럼 보이게 하여 사용자의 경계심을 낮췄습니다. 또한, 이는 일부 키워드 기반 탐지 방법(예: curl|bash와 직접 일치)을 회피하는 데에도 효과적입니다.

base64로 인코딩된 명령어를 디코딩하면, 본질적으로 일반적인 "다운로드 및 실행" 명령어와 같습니다.

1단계 샘플은 단지 진입점일 뿐이며, 실제 기능은 2단계 샘플에 배치되어 있어 공격자가 페이로드를 쉽게 교체하고 스킬 셸을 자주 수정할 필요 없이 신속하게 반복 작업을 수행할 수 있습니다.

위 명령은 91.92.242.30에서 q0c7ew2ro8l2cfqp라는 프로그램을 다운로드하고 실행하며, 이 프로그램은 다시 2단계 샘플 dyrtvwjfveyxjf23을 다운로드하고 실행합니다.

이러한 단계별 배포의 주된 목적은 "저비용 반복 + 노출 최소화"입니다. 스킬 셸(SKILL.md)은 비교적 안정적으로 유지되며 일반 설치 가이드처럼 보일 수 있습니다. 실제 악성 기능은 2단계 샘플에 숨겨져 있습니다. 공격자는 2단계 페이로드를 교체하는 것만으로 기능과 대응책을 신속하게 업데이트할 수 있으며, 정적인 텍스트 기반 검토 및 차단을 우회할 수 있습니다.

동적 분석 결과, 2단계 샘플은 시스템 대화 상자로 위장하여 사용자 암호를 탈취하는 것으로 나타났습니다. 암호의 유효성을 확인한 후에는 로컬 정보와 문서를 임시 디렉터리에 수집 및 저장하고, 바탕 화면/문서/다운로드 폴더에서 파일을 읽어옵니다.

악성 도메인 분석

위협 인텔리전스 플랫폼에 따르면 악성 도메인 socifiapp[.]com은 2025년 7월 14일에 등록되었으며 악성 원격 제어로 태그 되었습니다.

IP 주소 91.92.242.30은 대량 악성 공격에 재사용되고 있습니다. 공개적으로 입수 가능한 위협 정보에 따르면, 이 IP 주소는 과거 포세이돈(Poseidon) 관련 인프라와 연관되어 있습니다. 이 그룹은 데이터 탈취 후 금전을 요구하는 수법을 주로 사용합니다.

미스트아이 답변

MistEye는 SlowMist에서 자체 개발한 위협 인텔리전스 및 동적 보안 모니터링 도구로, Web3 영역에 특화되어 있습니다. 보안 모니터링과 인텔리전스 집계 기능을 심층적으로 통합하여 사용자에게 실시간 리스크 경고 및 자산 보호 기능을 제공합니다.

악성 행위의 특징을 확인한 MistEye 시스템은 즉시 고위험 경고를 발생시켰습니다. 이 경고에는 472개의 악성 스킬과 관련 침해 지표(IOC)가 포함되었으며, 관련 위협 인텔리전스는 고객에게 모두 전달되었습니다.

스킬 생태계를 둘러싼 경쟁은 계속되고 있습니다. 미스트아이는 새로운 악성 스킬을 적시에 탐지하고 식별하기 위해 주요 앱 스토어를 24시간 내내 모니터링할 것입니다. 향후 고객에게 장기적인 보안 보호를 제공하기 위해 스킬 메커니즘에 대한 구체적인 모니터링 규칙을 공식적으로 출시할 예정입니다.

요약하다

이번 사건의 핵심은 "생태계 진입점 + 텍스트 명령 실행"으로 인한 공급망 리스크 에 있습니다. 스킬 셸은 무한히 이름을 바꿀 수 있지만, 공격자는 실제로 재사용 가능한 몇 가지 원격 리소스와 랜딩 포인트에 의존합니다. 방어 측면에서는 "2단계 로딩", "재사용성이 높은 인프라", "IP 주소가 노출되지 않은 랜딩 포인트"라는 세 가지 신호를 식별하는 것이 스킬을 하나씩 철수 보다 효과적일 수 있습니다. 아래의 IOC는 신속한 차단 및 위협 탐지에 사용할 수 있지만, 장기적인 탐지 기능을 구축하기 위해 행동 추적과 함께 사용하는 것이 더 좋습니다.

보호 조치

1. SKILL.md의 "설치 단계"를 신뢰할 수 있는 정보원으로 간주하지 마십시오. 복사 및 붙여넣기가 필요한 모든 명령은 먼저 감사 해야 합니다.
2. "시스템 암호/접근 권한/시스템 설정"을 요구하는 메시지에 주의하십시오. 이러한 메시지는 리스크 커지는 지점인 경우가 많습니다.
3. 필요한 필수 구성 요소와 도구는 공식 경로를 통해 구하고, 출처를 알 수 없는 설치 스크립트는 실행하지 않도록 하십시오.

IOC

도메인

socifiapp[.]com

렌트리[.]코

install[.]app-distribution.net

URL

hxxp[:]//91.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//91.92.242.30/x5ki60w1ih838sp7

hxxp[:]//91.92.242.30/528n21ktxu08pmer

hxxp[:]//91.92.242.30/66hfqv0uye23dkt2

hxxp[:]//91.92.242.30/6x8c0trkp4l9uugo

hxxp[:]//91.92.242.30/dx2w5j5bka6qkwxi

hxxp[:]//54.91.154.110:13338/

hxxp[:]//91.92.242.30/6wioz8285kcbax6v

hxxp[:]//91.92.242.30/1v07y9e1m6v7thl6

hxxp[:]//91.92.242.30/q0c7ew2ro8l2cfqp

hxxp[:]//91.92.242.30/dyrtvwjfveyxjf23

hxxps[:]//rentry.co/openclaw-core

hxxps[:]//glot.io/snippets/hfdxv8uyaf

hxxp[:]//92.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//95.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//install.app-distribution.net/setup/

hxxp[:]//11.92.242.30/7buu24ly8m1tn8m4

hxxp[:]//202.161.50.59/7buu24ly8m1tn8m4

hxxp[:]//96.92.242.30/7buu24ly8m1tn8m4

hxxps[:]//glot.io/snippets/hfd3x9ueu5

IP

91.92.242.30

104.18.38.233

95.92.242.30

54.91.154.110

92.92.242.30

11.92.242.30

202.161.50.59

96.92.242.30

파일

파일 이름: dyrtvwjfveyxjf23

SHA256: 30f97ae88f8861eeadeb54854d47078724e52e2ef36dd847180663b7f5763168

파일 이름: 66hfqv0uye23dkt2

SHA256: 0e52566ccff4830e30ef45d2ad804eefba4ffe42062919398bf1334aab74dd65

파일 이름: x5ki60w1ih838sp7

SHA256: 1e6d4b0538558429422b71d1f4d724c8ce31be92d299df33a8339e32316e2298

파일 이름: dx2w5j5bka6qkwxi

SHA256: 998c38b430097479b015a68d9435dc5b98684119739572a4dff11e085881187e

파일 이름: openclaw-agent.exe

SHA256: 17703b3d5e8e1fe69d6a6c78a240d8c84b32465fe62bed5610fb29335fe42283

면책 조항: 본 사이트는 블록체인 정보 플랫폼으로서, 사이트에 게시된 글은 필자 및 초청 연사의 개인적인 관점 일 뿐이며 Web3Caff의 공식적인 입장을 반영하는 것은 아닙니다. 본 글에 포함된 정보는 참고용일 뿐이며 투자 자문 또는 투자 제안으로 간주될 수 없습니다. 각 국가 또는 지역의 관련 법률 및 규정을 준수하시기 바랍니다.