AI(인공지능) 기반 코드 편집기 커서(Cursor)에서 악의적으로 조작된 리포지토리를 프로그램으로 열 경우 코드 실행을 유발할 수 있는 보안 취약점이 공개되었다.   이 문제는 초기 보안 설정이 기본적으로 비활성화되어 있어, 공격자가 사용자 컴퓨터에서 해당 사용자의 권한으로 임의의 코드를 실행할 수 있는 길을 열어준다는 점에서 비롯된다.   보안 기업은 분석에서 "커서는 Workspace Trust가 기본적으로 비활성화된 상태로 제공되므로, 'runOptions.runOn: 'folderOpen''으로 구성된 VS Code 스타일의 작업은 개발자가 프로젝트를 탐색하는 순간 자동으로 실행된다."   "악의적인 .vscode/tasks.json 파일은 평범한 '폴더 열기'를 사용자 컨텍스트에서 몰래 코드 실행으로 바꿔버린다." 라고 밝혔다.   커서는 Visual Studio Code의 AI 기반 포크(fork) 버전으로, 개발자가 코드의 출처나 작성자에 관계없이 안전하게 코드를 탐색하고 편집할 수 있도록 하는 'Workspace Trust'라는 기능을 지원한다.   이 옵션이 비활성화된 상태에서 공격자는 GitHub(또는 다른 플랫폼)에 프로젝트를 만들어 놓고, IDE가 폴더를 열자마자 특정 작업을 실행하도록 지시하는 숨겨진 "자동 실행" 명령을 포함시켜 함정이 설치된 리포지토리를 커서에서 탐색하려고 시도할 때 악성 코드가 실행될 수 있다.   보안 연구원은 "이는 민감한 자격 증명을 유출하거나 파일을 수정하고, 더 광범위한 시스템 침해의 경로로 사용될 수 있으며, 커서 사용자를 공급망 공격의 심각한 위험에 처하게 한다"라고 말했다.   이 위협에 대응하기 위해 사용자들은 커서에서 Workplace Trust를 활성화하고, 신뢰할 수 없는 리포지토리는 다른 코드 편집기에서 열거나, 해당 도구에서 열기 전에 코드를 먼저 검토하는 것이 권장된다.   이러한 상황은 프롬프트 인젝션과 탈옥(jailbreaks)이 Claude Code, Cline, K2 Think, Windsurf와 같은 AI 기반 코딩 및 추론 에이전트를 괴롭히는 은밀하고 시스템적인 위협으로 부상했다.   이를 통해 공격자는 은밀한 방식으로 악의적인 명령어를 삽입하여 시스템이 악성 행위를 수행하거나 소프트웨어 개발 환경에서 데이터를 유출하도록 속일 수 있다.   한 소프트웨어 공급망 보안 회사는 지난주 보고서에서 앤트로픽(Anthropic)이 Claude Code에 새로 도입한 자동 보안 검토 기능이 어떻게 의도치 않게 프로젝트를 보안 위험에 노출시킬 수 있는지를 밝혔다.   예를 들어, 프롬프트 인젝션을 통해 취약한 코드를 무시하도록 지시하여 개발자가 악의적이거나 안전하지 않은 코드의 보안 검토를 통과하게 만들 수 있다.   이 회사는 "이 경우, 신중하게 작성된 주석은 명백히 위험한 코드조차도 완전히 안전하다고 클로드(Claude)를 설득할 수 있다"라며, "최종 결과로, 악의적인 개발자든 단지 클로드를 조용히 시키려는 개발자든, 취약점이 안전하다고 클로드를 쉽게 속일 수 있다"라고 말했다.   또 다른 문제는 AI 검사 프로세스가 테스트 케이스를 생성하고 실행한다는 점인데, 만약 클로드 코드가 적절한 샌드박스 환경에서 실행되지 않으면 악성 코드가 운영 데이터베이스에 대해 실행될 수 있는 시나리오로 이어질 수 있다.       [그림 1. AI 코딩 도구의 원격 코드 실행(RCE) 취약점으로 계산기가 실행된 모습]     최근 클로드에 새로운 파일 생성 및 편집 기능을 출시한 앤트로픽은 해당 기능이 "인터넷 접근이 제한된 샌드박스 컴퓨팅 환경"에서 실행되기 때문에 프롬프트 인젝션 위험을 수반한다고 경고했다.   구체적으로, 공격자는 외부 파일이나 웹사이트를 통해 몰래 명령어를 추가(간접 프롬프트 인젝션)하여 챗봇이 신뢰할 수 없는 코드를 다운로드 및 실행하거나, 모델 컨텍스트 프로토콜(MCP)을 통해 연결된 지식 자원에서 민감한 데이터를 읽도록 속이는 것이 가능하다.   앤트로픽은 "이는 클로드가 자신의 컨텍스트(예: 프롬프트, 프로젝트, MCP를 통한 데이터, 구글 통합)에 있는 정보를 악의적인 제3자에게 보내도록 속을 수 있음을 의미한다"라며, "이러한 위험을 완화하기 위해, 기능을 사용하는 동안 클로드를 모니터링하고 예기치 않게 데이터를 사용하거나 접근하는 것을 발견하면 중지시키는 것을 권장한다"라고 밝혔다.   지난달 말, 앤트로픽은 Claude for Chrome과 같은 브라우저에서 사용되는 AI 모델도 프롬프트 인젝션 공격에 직면할 수 있으며, 이 위협에 대응하고 공격 성공률을 23.6%에서 11.2%로 줄이기 위해 여러 방어 수단을 구현했다고 밝혔다.   이어 "악의적인 행위자들에 의해 새로운 형태의 프롬프트 인젝션 공격 또한 끊임없이 개발되고 있다."   "통제된 테스트에서는 나타나지 않는 실제 세계의 안전하지 않은 행동 사례와 새로운 공격 패턴을 발견함으로써, 우리 모델이 공격을 인식하고 관련 행동을 처리하도록 가르칠 것이며, 모델 자체가 놓치는 모든 것을 안전 분류기가 잡아낼 수 있도록 보장할 것"이라고 덧붙였다.   동시에, 이러한 도구들은 전통적인 보안 취약점에도 취약한 것으로 밝혀져 실제적인 영향을 미칠 수 있는 공격 표면을 넓히고 있다.   - Claude Code IDE 확장 프로그램의 웹소켓 인증 우회 (CVE-2025-52882, CVSS 점수: 8.8): 공격자가 단순히 피해자를 자신의 통제 하에 있는 웹 사이트에 방문하도록 유인하여 피해자의 인증되지 않은 로컬 웹소켓 서버에 연결할 수 있게 하여 원격 명령 실행을 가능하게 할 수 있었다. - Postgres MCP 서버의 SQL 인젝션 취약점: 공격자가 읽기 전용 제한을 우회하고 임의의 SQL 문을 실행할 수 있게 할 수 있었다. - Microsoft NLWeb의 경로 탐색 취약점: 원격 공격자가 특수하게 조작된 URL을 사용하여 시스템 구성 파일("/etc/passwd") 및 클라우드 자격 증명 파일(.env)을 포함한 민감한 파일을 읽을 수 있었다. - Lovable의 부적절한 권한 부여 취약점 (CVE-2025-48757, CVSS 점수: 9.3): 인증되지 않은 원격 공격자가 생성된 사이트의 임의 데이터베이스 테이블을 읽거나 쓸 수 있게 할 수 있었다. - Base44의 오픈 리디렉트, 저장형 크로스 사이트 스크립팅(XSS), 민감 데이터 유출 취약점: 공격자가 피해자의 앱과 개발 작업 공간에 접근하고, API 키를 수집하며, 사용자가 생성한 애플리케이션에 악성 로직을 주입하고, 데이터를 유출할 수 있었다. - Ollama Desktop의 취약점: 불완전한 교차 출처 제어로 인해 발생하며, 공격자가 드라이브 바이(drive-by) 공격을 실행할 수 있다. 이 경우, 악성 웹사이트를 방문하는 것만으로 애플리케이션의 설정을 재구성하여 채팅을 가로채고, 심지어 오염된 모델을 사용하여 응답을 변경할 수도 있다.   보안 기업은 "AI 주도 개발이 가속화됨에 따라 가장 시급한 위협은 종종 기이한 AI 공격이 아니라 고전적인 보안 통제의 실패다"라며, "성장하는 '바이브 코딩(vibe coding)' 플랫폼 생태계를 보호하기 위해, 보안은 나중에 추가하는 것이 아닌, 기반으로 다뤄져야 한다"라고 말했다.       출처 https://thehackernews.com/2025/09/cursor-ai-code-editor-flaw-enables.html

    새롭게 발견된 HybridPetya 랜섬웨어는 UEFI 보안 부팅 기능을 우회하여 EFI 시스템 파티션에 악성 애플리케이션을 설치할 수 있다.   하이브리드페트야는 2016년과 2017년 공격에서 컴퓨터를 암호화하고 윈도우 부팅을 막았지만 복구 옵션은 제공하지 않았던 파괴적인 Petya/NotPetya 악성코드에서 영감을 받은 것으로 추정된다.     한 보안 연구진은 VirusTotal에서 HybridPetya 샘플을 발견했다.   이는 연구 프로젝트, 개념 증명(PoC), 또는 아직 제한적으로 테스트 중인 사이버 범죄 도구의 초기 버전일 수 있다.   보안 연구진은 이것의 존재가 BlackLotus, BootKitty, Hyper-V Backdoor와 함께 보안 부팅 우회 기능을 갖춘 UEFI 부트킷이 실제 위협임을 보여주는 또 다른 사례라고 말한다.     HybridPetya는 이전 악성코드들의 시각적 스타일과 공격 체인을 포함하여 Petya와 NotPetya 모두의 특징을 통합한 것이다.   하지만 개발자는 EFI 시스템 파티션에 설치하고 CVE-2024-7344 취약점을 악용하여 보안 부팅을 우회하는 기능과 같은 새로운 요소를 추가했다.   한 보안 회사는 올해 1월에 이 결함을 발견했으며, 이 문제는 대상 시스템에 보안 부팅 보호가 활성화된 상태에서도 부트킷을 배포하는 데 악용될 수 있는 마이크로소프트 서명 애플리케이션에 존재한다.       [그림 1. 실행 로직]     실행 시 하이브리드페트야는 호스트가 GPT 파티셔닝과 함께 UEFI를 사용하는지 확인하고 여러 파일로 구성된 악성 부트킷을 EFI 시스템 파티션에 드롭한다.   여기에는 구성 및 검증 파일, 수정된 부트로더, 대체 UEFI 부트로더, exploit payload 컨테이너, 그리고 암호화 진행 상황을 추적하는 상태 파일이 포함된다.   또한 이 악성코드는 취약한 'reloader.efi' 파일로 기존 부트로더를 대체하고, 일부 부트 파일을 삭제한다.   원본 윈도우 부트로더는 피해자가 랜섬머니를 지불하여 성공적으로 복원될 경우를 대비해 저장된다.   HybridPetya는 배포된 후 페트야처럼 가짜 오류를 표시하는 블루스크린(BSOD)을 발생시켜 시스템을 강제로 재부팅시킨다.   이를 통해 시스템 부팅 시 악성 부트킷이 실행되도록 한다.     이 단계에서 랜섬웨어는 NotPetya처럼 가짜 CHKDSK 메시지를 표시하면서 설정 파일에서 추출한 Salsa20 키와 nonce를 사용하여 모든 MFT cluster를 암호화한다.     [그림 2. 가짜 CHKDSK 메세지]   암호화가 완료되면 시스템은 다시 재부팅되며, 이후 피해자는 시스템 부팅 과정에서 1,000달러 상당의 비트코인 지불을 요구하는 랜섬노트를 보게 된다.   [그림 3. 하이브리드 랜덤노트]     피해자가 랜섬머니를 지불하면 랜섬노트 화면에 입력할 수 있는 32자리 키를 제공받는다.   이 키는 원본 부트로더를 복원하고 클러스터를 복호화하며, 사용자에게 재부팅을 요청한다.   HybridPetya가 실제 공격에서 발견된 사례는 아직 없다.   그러나 유사한 프로젝트들이 이 개념 증명(PoC)을 무기화하여 패치되지 않은 윈도우 시스템을 대상으로 언제든지 광범위한 캠페인에 사용할 수 있다.   마이크로소프트는 2025년 1월 Patch Tuesday를 통해 CVE-2024-7344를 수정했다.   따라서 이 보안 업데이트나 그 이후 버전을 적용한 윈도우 시스템은 HybridPetya로부터 보호된다.   랜섬웨어에 대응하는 또 다른 확실한 방법은 가장 중요한 데이터를 오프라인 백업으로 보관하여 시스템을 무료로 쉽게 복원할 수 있도록 하는 것이다.       출처 https://www.bleepingcomputer.com/news/security/new-hybridpetya-ransomware-can-bypass-uefi-secure-boot/

    'VMScape'라 불리는 스펙터(Spectre)와 유사한 새로운 공격은, 악 가상 머신(VM)이 최신 CPU에서 실행되는 수정되지 않은 QEMU 하이퍼바이저 프로세스로부터 암호화 키를 유출할 수 있게 한다. 이 공격은 VM과 클라우드 하이퍼바이저 간의 격리를 무너뜨리고, 기존 스펙터 완화 기술을 우회하며, 추측 실행(speculative execution)을 이용해 민감한 데이터 유출을 위협한다.   보안 연구원들은 VMScape가 호스트를 손상시킬 필요가 없으며, 하드웨어에 기본 완화 조치가 활성화된 상태의 수정되지 않은 가상화 소프트웨어에서 작동한다고 강조한다.   그들은 공격자가 클라우드 제공업체로부터 가상 머신을 단순히 임대하는 것만으로 하이퍼바이저나 다른 VM에서 비밀 정보를 유출하는 공격을 배포할 수 있다고 지적한다.   VMScape는 스위스의 한 공립대학 연구팀에 의해 개발되었으며, Zen 1부터 Zen 5까지의 모든 특정 제조업체 프로세서와 다른 제조업체의 "Coffee Lake" CPU에 영향을 미치는 것을 발견했다.    최신 "Raptor Cove" 및 "Gracemont"는 영향을 받지 않는다.   현대 CPU는 게스트와 호스트 간의 분기 예측 장치(BPU)에 격리를 확장하여 추측 공격으로부터 보호하는데, 보안 연구원들은 이 격리가 불완전하다는 것을 발견했다.       [그림 1. Host와 Guest의 분리]     BTB(분기 대상 버퍼), IBP/ITA, BHB(분기 히스토리 버퍼)와 같은 공유 BPU 구조로 인해 게스트 사용자는 호스트 사용자 프로세스의 간접 분기 예측에 영향을 줄 수 있다.   이 공격은 사용자 모드 하이퍼바이저 구성 요소인 QEMU를 표적으로 삼는데, 이는 게스트 메모리를 자체 주소 공간에 매핑하여 'FLUSH+RELOAD' 캐시 사이드 채널을 사용할 수 있게 한다.   보안 연구팀은 스펙터-BTI(분기 대상 주입) 공격을 사용하여 QEMU의 대상 간접 분기를 잘못 유도하여, 비밀 데이터를 공유 리로드 버퍼로 유출하는 공개 가젯을 추측 실행하도록 만들었다.       [그림 2. 공격 개요]     추측 실행 창을 확장하기 위해, 공격자는 특정 CPU의 마지막 레벨 캐시(LLC)를 대상으로 하는 제거 세트를 구축하여 게스트 내부에서 관련 캐시 항목을 제거한다.   프로세스에서 데이터가 로드되는 메모리 주소를 무작위로 만드는 보안 기능인 ASLR(주소 공간 배치 난수화)은 분기 충돌을 탐색하여 희생자 가젯을 찾고 리로드 버퍼의 가상 주소를 무차별 대입하여 무력화된다.   연구팀은 VMScape가 QEMU에서 초당 32바이트의 속도로 임의의 메모리 데이터를 유출하며, 바이트 수준 정확도는 98.7%, 전체 공격 성공률은 43%라고 밝혔다   이 속도라면 디스크 암호화 키와 같은 4KB의 비밀 정보는 128초 만에 유출될 수 있다. ASLR 우회 과정을 포함한 전체 종단 간 시간은 772초, 즉 13분 미만이 될 것이다.   가상화는 클라우드 컴퓨팅의 근간이며, 만약 하나의 게스트 머신이 호스트의 메모리를 읽을 수 있다면 이는 다중 테넌트 클라우드 보안을 위협한다.   그러나 VMScape와 같은 공격은 고급 지식, 깊은 기술적 전문성, 그리고 지속적인 실행 시간을 필요로 한다는 점이 중요하다.   이 때문에 이러한 공격은 가능하다 할지라도 더 넓은 사용자층에게 위협이 되지는 않는다.       [그림 3. VMScape의 영향을 받는 프로세서 세대]     보안 연구팀은 6월 7일에 자신들의 발견을 관련 CPU 제조업체에 보고했으며, 이 문제는 CVE-2025-40300 식별자를 부여받았다   제조업체는 이 문제에 대해 보안 게시판에 발표했다.   리눅스 커널 개발자들은 VMEXIT 시 IBPB(간접 분기 예측 장벽)를 추가하여 게스트에서 호스트로 전환할 때 BPU를 효과적으로 플러시(초기화)함으로써 VMScape를 완화하는 패치를 배포했다.   연구원들은 이 완화 조치가 일반적인 작업 부하에서 성능에 미치는 영향은 미미하다고 말했다.       출처 https://www.bleepingcomputer.com/news/security/new-vmscape-attack-breaks-guest-host-isolation-on-amd-intel-cpus/