바이비트(Bybit) 자사 보안 운영 센터(SOC)에서 발표한 조사 결과를 Finbold에 공개했는데, 이 자료에 따르면 해당 캠페인은 Anthropic의 AI 기반 개발 도구인 "Claude Code"를 검색하는 사용자를 대상으로 한 다단계 macOS 악성코드 공격이었다고 합니다.
회사 측은 이번 캠페인이 중앙 집중식 암호화폐 거래소(중앙화 거래소(CEX))가 AI 도구 탐지 채널을 악용하여 개발자를 표적으로 삼는 활성 위협을 식별하고 분석한 최초의 공개 사례 중 하나라고 밝혔습니다.
바이비트(Bybit) 에 따르면, 해당 캠페인은 2026년 3월에 처음 발견되었으며, 검색 엔진 최적화(SEO)를 악용하여 악성 도메인을 구글 검색 결과 상위에 노출시키는 방식을 사용했습니다. "Claude Code"를 검색하는 사용자는 정식 설치 문서와 매우 유사하게 만들어진 가짜 설치 페이지로 리디렉션되었습니다.
다단계 악성코드 체인은 계정 정보와 암호화폐 지갑을 표적으로 삼습니다.
Bybit의 분석 결과, 해당 공격은 2단계 악성코드 체인을 사용한 것으로 나타났습니다. Mach-O 드로퍼를 통해 전달된 초기 페이로드는 알려진 알고리즘 시장 운영(AMOs) 및 Banshee 변종과 유사한 특징을 보이는 osascript 기반 정보 탈취 악성코드를 설치했습니다.
정보 탈취 악성코드는 여러 단계의 난독화 과정을 거쳐 브라우저 자격 증명, macOS 키체인 항목, 텔레그램 세션, VPN 프로필, 암호화폐 지갑 정보 등 민감한 데이터를 추출했습니다. 바이비트(Bybit) 연구진은 250개 이상의 브라우저 기반 지갑 확장 프로그램과 여러 데스크톱 지갑 애플리케이션에 대한 표적 접근 시도를 확인했습니다.
2단계 페이로드는 샌드박스 탐지 및 암호화된 런타임 구성과 같은 고급 회피 기술을 특징으로 하는 C++ 기반 백도어를 삽입했습니다. 이 악성코드는 시스템 수준 에이전트를 통해 Persistence 확보하고 HTTP 기반 폴링을 통해 원격 명령 실행을 가능하게 하여 공격자가 감염된 장치에 대한 지속적인 제어를 유지할 수 있도록 했습니다.
이번 조사에서는 사용자 자격 증명을 검증하고 캐시하기 위해 가짜 macOS 암호 입력창을 사용하는 등 사회 공학적 수법도 적발되었습니다. 일부 사례에서는 공격자들이 Ledger Live 및 Trezor Suite와 같은 정식 지갑 애플리케이션을 악성 인프라에 호스팅된 트로이목마 버전으로 교체하려는 시도도 있었습니다.
AI 기반 분석을 통해 탐지 및 대응 속도를 높입니다.
바이비트(Bybit) 자사의 보안운영센터(SOC)가 전체 악성코드 분석 라이프사이클에 걸쳐 AI 기반 워크플로우를 활용하여 분석 깊이를 유지하면서 대응 시간을 크게 단축했다고 밝혔습니다. Mach-O 샘플에 대한 초기 분류 및 분석은 몇 분 만에 완료되었으며, AI 모델은 알려진 악성코드 계열과의 동작 유사성을 감지했습니다.
회사에 따르면, AI 기반 역공학 및 제어 흐름 분석을 통해 2단계 백도어에 대한 심층 검사 시간이 기존 6~8시간에서 40분 미만으로 단축되었습니다. 자동화된 추출 파이프라인은 명령 및 제어 인프라, 파일 시그니처, 행동 패턴 등 침해 지표를 식별하고 이를 기존 위협 프레임워크에 매핑했습니다.
이러한 기능 덕분에 탐지 조치를 당일 배포할 수 있었습니다. AI 기반 규칙 생성 기능을 통해 위협 시그니처와 엔드포인트 탐지 규칙을 생성할 수 있었고, 분석가들이 이를 검증한 후 프로덕션 환경에 배포했습니다. 바이비트(Bybit) 은 AI로 생성된 보고서 초안 덕분에 처리 시간이 단축되어 위협 인텔리전스 결과물을 기존 워크플로보다 약 70% 더 빠르게 최종 확정할 수 있었다고 밝혔습니다.
"이러한 유형의 멀웨어 캠페인을 공개적으로 기록한 최초의 암호화폐 거래소 중 하나로서, 이러한 발견 사항을 공유하는 것은 업계 전반의 공동 방어를 강화하는 데 매우 중요하다고 생각합니다." 라고 바이비트(Bybit) 의 그룹 리스크 관리 및 보안 책임자인 데이비드 종(David Zong)은 말했습니다. "당사의 AI 기반 SOC는 단일 운영 시간 내에 탐지부터 킬체인 전체 가시성 확보까지 가능하게 합니다. 이전에는 여러 교대 근무조의 분석가 팀이 수행해야 했던 디컴파일, IOC 추출, 보고서 작성, 규칙 작성 작업이 이제는 AI가 핵심 작업을 처리하고 분석가가 판단 및 검증을 제공하는 단일 세션으로 완료됩니다. 앞으로 우리는 AI 전쟁에 직면하게 될 것입니다. AI를 사용하여 AI를 방어하는 것은 피할 수 없는 추세입니다. 바이비트(Bybit) 보안을 위한 AI 투자를 더욱 확대하여 분 단위의 위협 탐지 및 자동화된 지능형 긴급 대응을 구현할 것입니다."
해당 악성 소프트웨어는 크로뮴 기반 브라우저, 파이어폭스 변종, 사파리 데이터, 애플 노트, 그리고 민감한 금융 정보나 인증 정보를 저장하는 데 일반적으로 사용되는 로컬 파일 디렉터리를 포함한 광범위한 환경을 대상으로 삼았습니다.
바이비트(Bybit) 이번 공격 캠페인과 관련된 여러 도메인과 명령 및 제어 엔드포인트를 확인했으며, 이 모든 정보는 공개를 위해 무력화되었다고 밝혔습니다. 분석 결과, 공격자들은 지속적인 연결보다는 간헐적인 HTTP 폴링 방식을 사용했기 때문에 탐지가 더욱 어려웠던 것으로 나타났습니다.
바이비트(Bybit) 에 따르면, 해당 공격 캠페인과 관련된 악성 인프라는 3월 12일에 발견되었습니다. 전체 분석, 완화 조치 및 내부 탐지 조치는 같은 날 완료되었습니다. 이후 3월 20일에 공개 발표가 이루어졌으며, 사용자들이 유사한 위협을 식별하고 완화할 수 있도록 자세한 탐지 및 복구 지침이 함께 제공되었습니다.
대표 이미지는 Shutterstock에서 가져왔습니다.
