□ 개요
○ Gemini, Claude Code, Codex, Grok CLI 등 AI 개발도구 및 보조도구로 위장한 악성 ZIP 파일이 GitHub* 저장소와 GitHub Pages**를 통해 유포되고 있어 이용자 주의 권고
* GitHub : 소스코드 저장소 제공 및 관리 서비스
** GitHub Pages : GitHub 저장소를 기반으로 웹페이지를 배포할 수 있는 서비스
□ 주요 내용
○ 공격자는 AI 개발자와 일반 사용자가 실제로 검색할 법한 도구명으로 위장한 GitHub 저장소와 소개 페이지를 미리 생성한 뒤, 2026.7.14. 22:02경부터 링크를 악성 ZIP 경로로 순차 전환
○ 이용자는 GitHub 검색, 검색엔진 결과, SNS·커뮤니티 공유 링크 등을 통해 해당 저장소에 접속하고, 정상 AI 도구로 오인해 ZIP 파일을 다운로드 및 악성코드에 감염 될 수 있음
○ 악성 ZIP 실행 시 시스템 정보 수집, 추가 악성 파일 다운로드, 외부 명령 실행, 재부팅 후에도 동작 가능한 지속성 설정 등이 수행될 수 있음
○ 국내는 AI 서비스와 보조도구 활용이 활발한 만큼 정상 도구로 오인한 다운로드·실행 피해가 우려됨
□ 대응방안
○ 첨부된 헌팅 가이드 보고서를 참고하여 자체 점검 후, 침해사고 정황 확인 시 보호나라 누리집을 통해 즉시 신고
※ 보호나라 누리집 (https://www.boho.or.kr/kr/report/list.do?menuNo=205034) 신고하기
○ AI 보조도구, Claude/Codex/Gemini/Grok 관련 프로그램은 GitHub 검색 결과나 비공식 저장소가 아닌 공식 프로젝트 페이지와 공식 배포처를 통해서만 다운로드 권고
□ 침해사고 신고
○ 'KISA 인터넷 보호나라&KrCERT' 홈페이지(www.boho.or.kr)→ 상담 및 신고 → 해킹 사고 신고
□ 기타 문의사항
○ 한국인터넷진흥원 118 (국번없이 118)
□ 작성 : 위협분석단 AI종합분석팀