npm 및 PyPI에서 발견된 GPT-Proxy 백도어: 서버를 중국 LLM 중계기로 악용

이 요약은 AI가 원문을 분석해 생성했습니다. 정확한 내용은 원문 기준으로 확인하세요.

핵심 요약

최근 npm(kube-health-tools)과 PyPI(kube-node-health)에서 Kubernetes 관리 도구로 위장한 악성 패키지가 발견됐다. 이 패키지들은 설치 시 네이티브 바이너리를 통해 2단계 페이로드를 다운로드하며, 감염된 서버에 OpenAI 호환 LLM 프록시 서비스를 구축한다. 공격자는 이를 통해 중국 내 차단된 AI 모델에 접근하려는 사용자들에게 유료로 API를 재판매하는 중계 인프라로 활용한다. 특히 설치 직후 자신을 삭제하고 프로세스 이름을 위장하는 등 고도의 은닉 기법을 사용하며, 모든 LLM 요청이 평문으로 노출되어 데이터 유출 위험이 크다.

배경

Kubernetes 및 컨테이너 환경에 대한 기본 이해, npm/PyPI 패키지 관리 및 공급망 보안 개념, LLM API 및 프록시 서버 작동 원리

대상 독자

Kubernetes 인프라 운영자 및 LLM 애플리케이션 개발자

의미 / 영향

이 공격은 AI 모델에 대한 지역적 접근 제한이 사이버 범죄의 새로운 동기가 되고 있음을 보여줍니다. 기업의 서버가 단순한 데이터 탈취를 넘어 AI 암시장의 유료 인프라로 악용될 수 있으며, 이 과정에서 기업의 핵심 자산인 시스템 프롬프트와 API 데이터가 실시간으로 노출되는 심각한 보안 위협을 초래합니다.

섹션별 상세

Kubernetes 관련 도구로 위장한 kube-health-tools(npm)와 kube-node-health(PyPI) 패키지가 공급망 공격에 이용됐다. 겉으로는 정상적인 헬스체크 도구처럼 보이지만 내부적으로는 원격 제어와 터널링 기능을 갖춘 바이너리를 실행한다. 공격자는 이를 통해 피해 서버의 권한을 획득하고 내부 네트워크에 침투할 수 있는 교두보를 마련한다.

bash

sleep 2
rm -f $P $S
find / -type d -name "kube-health-tools" -path "*/node_modules/*" -exec rm -rf {} + 2>/dev/null

설치 흔적을 지우기 위해 패키지 디렉토리와 임시 파일을 삭제하는 쉘 스크립트

악성 페이로드를 호스팅하는 GitHub 계정의 리포지토리 목록 스크린샷 — Screenshot공격자가 사용한 gibunxi4201 계정의 리포지토리를 보여주며, kube-node-diag 등 악성 바이너리가 배포된 프로젝트들을 확인할 수 있다. 이는 공격자가 프록시 관련 인프라를 구축하기 위해 여러 프로젝트를 운영하고 있음을 뒷받침한다.

보안 도구에서 악성 패키지 kube-health-tools가 탐지된 화면 — Screenshot실제 프로젝트 환경에서 해당 악성 패키지가 어떻게 탐지되는지 보여준다. 위험도가 100(Critical)으로 분류되며 악성 코드가 포함된 구체적인 파일 경로를 명시하고 있다.

2단계 페이로드는 Chisel 프로토콜을 사용하여 C2 서버와 암호화된 터널을 생성하고 다양한 악성 기능을 수행한다. SOCKS5 프록시, 역방향 쉘, SFTP 서버 기능을 포함하며 특히 OpenAI API와 호환되는 LLM 프록시 게이트웨이를 내장하고 있다. 이를 통해 공격자는 감염된 서버의 컴퓨팅 자원과 IP를 LLM 트래픽 중계에 무단으로 사용한다.

func ClearEnv() {
  for _, name := range []string{"NHC_CFG", "KH_CFG", "NHC_KEY", "NHC_KEY_FILE"} {
    os.Unsetenv(name)
  }
  const aesKey = "s0m3R4nd0mK3y2026xYz"
  for _, kv := range os.Environ() {
    parts := strings.SplitN(kv, "=", 2)
    if len(parts) == 2 && strings.Contains(parts[1], aesKey) {
      os.Unsetenv(parts[0])
    }
  }
}

분석을 방해하기 위해 환경 변수에서 설정값과 암호화 키를 제거하는 Go 코드

공격자는 분석과 탐지를 피하기 위해 정교한 은닉 및 자가 삭제 메커니즘을 적용했다. 실행 직후 /tmp에 생성된 바이너리를 삭제하고 node_modules 내의 패키지 디렉토리 전체를 제거하여 포렌식 흔적을 없앤다. 또한 프로세스 이름을 node-health-check로 변경하고 관련 환경 변수를 메모리에서 소거하여 관리자가 이상 징후를 발견하기 어렵게 만든다.

내장된 LLM 프록시는 중국의 shubiaobiao, cloudsway 등 중간 집계 플랫폼을 통해 트래픽을 라우팅하도록 설계됐다. 바이너리 내부에는 Anthropic, OpenAI, Google, DeepSeek 등 주요 기업의 109개 모델 이름이 하드코딩되어 있으며, 이는 중국 내 AI 모델 접근 제한을 우회하려는 암시장의 수요를 충족하기 위한 목적으로 해석된다. 사용자의 모든 프롬프트와 응답은 공격자가 제어하는 프록시를 거치며 평문으로 노출된다.

중국 중고거래 플랫폼 Xianyu에서 판매 중인 LLM API 서비스 목록 — Screenshot중국 내에서 ChatGPT, Claude 등의 API 접근 권한이 유료로 거래되는 실태를 보여준다. 본문의 악성 프록시가 이러한 gray market의 공급망으로 활용되고 있음을 시각적으로 증명한다.

실무 Takeaway

Kubernetes 환경에서 사용하는 오픈소스 패키지의 네이티브 바이너리 실행 여부를 엄격히 모니터링하고 신뢰할 수 없는 패키지 설치를 차단해야 한다.
LLM API를 사용할 때 공식 엔드포인트가 아닌 신뢰할 수 없는 중계 라우터를 거칠 경우 시스템 프롬프트나 API 키 등 민감 정보가 탈취될 수 있음을 유의해야 한다.
서버 내에서 node-health-check와 같이 의심스러운 이름으로 실행되는 프로세스가 있는지 확인하고 /tmp 디렉토리의 비정상적인 실행 파일 생성을 차단하는 보안 정책이 필요하다.

언급된 리소스

GitHubgibunxi4201 GitHub Repository

GitHubAikido Safe Chain

func ClearEnv() { for _, name := range []string{"NHC_CFG", "KH_CFG", "NHC_KEY", "NHC_KEY_FILE"} { os.Unsetenv(name) } const aesKey = "s0m3R4nd0mK3y2026xYz" for _, kv := range os.Environ() { parts := strings.SplitN(kv, "=", 2) if len(parts) == 2 && strings.Contains(parts[1], aesKey) { os.Unsetenv(parts[0]) } } }

npm 및 PyPI에서 발견된 GPT-Proxy 백도어: 서버를 중국 LLM 중계기로 악용

핵심 요약

배경

대상 독자

의미 / 영향

섹션별 상세

실무 Takeaway

언급된 리소스

npm 및 PyPI에서 발견된 GPT-Proxy 백도어: 서버를 중국 LLM 중계기로 악용

핵심 요약

배경

대상 독자

의미 / 영향

섹션별 상세

실무 Takeaway

언급된 리소스

관련 토론

댓글

관련 피드

관련 토론

댓글

관련 피드