무슨 일이 있었나
SentinelLabs는 2026-06-23에 macOS.Gaslight를 공개했으며, 이는 2026년 5월 22일 VirusTotal에 업로드되고 정적 AV 엔진이 아닌 Apple XProtect에만 의해 포착된 DPRK 귀속 Rust 임플란트입니다. 그 혁신적 기능: AI 트리아주 도구가 도구 실패를 시뮬레이션하여 분석을 중단하도록 하기 위해 설계된 38개의 적층된 조작된 LLM 시스템 메시지가 바이너리에 임베드되어 있습니다. 주입 뒤에는 Chrome, Brave, Firefox, Safari, macOS 로그인 키체인 및 터미널 히스토리를 목표로 하는 완전한 정보 수집 도구가 있으며, 고정된 Telegram 채널을 통한 대화형 운영자 셸이 있습니다.
왜 중요한가
이것은 최종 사용자가 아닌 AI 보안 도구 자체를 대상으로 프롬프트 주입을 무기화하는 최초의 공개 문서화된 현장 악성코드 샘플입니다 — AI 보안 담당자 워크플로우에 대한 직접적 공격입니다. LLM 트리아주 도구가 SOC 운영의 표준이 되면서, 적대자들은 더 많은 이러한 회피 캐스케이드를 임베드할 것입니다. DPRK 귀속은 이를 Mastra npm 공급망 공격 뒤의 동일한 행위자와 연결합니다.
공격 경로
macOS 임플란트는 38개의 조작된 시스템 실패 메시지(가짜 토큰 만료, 메모리 오류, 주입 경고)를 Markdown 펜스 블록으로 임베드하여 AI 트리아주 도구 스캐폴딩을 모방합니다. LLM 보안 분석 도구가 바이너리를 수집할 때, 주입된 메시지는 모델을 분석을 중단 또는 거부하도록 푸시합니다. 별도로, C2는 Telegram Bot API를 통해 AES-GCM 암호화 및 인증서 고정으로 실행됩니다.
영향받는 시스템
AI 보안 악성코드 트리아주 도구 및 LLM 기반 보안 분석 파이프라인 (악성코드 바이너리 콘텐츠를 분석을 위해 LLM에 공급하는 모든 도구)
완화 방안
모든 악성코드 바이너리 콘텐츠를 적대적 입력으로 취급하세요 — 살균 없이 원본 바이너리 문자열 또는 임베드된 텍스트를 LLM 프롬프트에 직접 전달하지 마세요. IOC 및 전체 분석: https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/. Apple XProtect 규칙: MACOS_BONZAI_COBUCH.