goplus

GoPlus Security에 따르면, Infiniti Stealer라는 이름의 스파이웨어가 "ClickFix" 사회 공학 공격 기법을 통해 Mac 사용자들의 암호화 지갑 및 민감한 자격 증명을 탈취하고 있습니다.공격자는 매우 사실적인 Cloudflare 인증 페이지를 위조하여 사용자가 터미널을 열고 악성 명령을 수동으로 붙여넣도록 유도합니다. 명령이 실행된 후, 스크립트는 macOS의 격리 속성을 제거하고 후속 페이로드를 /tmp 디렉토리에 조용히 실행합니다. 최종 페이로드는 Nuitka로 컴파일된 네이티브 macOS 바이너리 파일로, 보안 도구의 탐지 난이도를 크게 높입니다. Infiniti Stealer가 배포되면 Chromium / Firefox 브라우저 자격 증명, macOS 키체인, 암호화 지갑 및 개발자 키 파일(예: .env 파일)을 탈취할 수 있으며, 샌드박스 탐지 및 지연 실행 기능을 갖추어 추적을 회피할 수 있습니다.

GoPlus Security에서 발표한 보안 경고에 따르면, Silverfort 보안 연구원들이 OpenClaw의 기술 저장소 ClawHub에서 심각한 취약점을 발견했습니다. 공격자는 내부 함수 downloads:increment를 호출하여 모든 방어 메커니즘을 우회할 수 있으며, 단 한 줄의 curl 요청으로 다운로드 수를 몇 분 만에 2만 회 이상으로 조작하여 악성 코드가 포함된 기술을 검색 순위 1위로 올리고 사용자 또는 AI 에이전트가 자동으로 설치하도록 유도할 수 있습니다.악성 기술이 실행되면 암호화 지갑, API 키 등 민감한 데이터를 탈취할 수 있습니다. 현재 이 취약점은 24시간 이내에 수정되었습니다. GoPlus는 사용자에게 높은 다운로드 수가 안전을 의미하지 않으며, AgentGuard를 사용하여 보안 스캔 및 방어를 수행할 것을 권장합니다.

Arkham 데이터에 따르면, 15:54에 16억 개의 GPS(약 1231만 달러 가치)가 GoPlus에서 한 계약 주소(0x7448...로 시작)로 전송되었습니다.

GoPlus 보안 모니터링에 따르면, 특정 0x9709로 시작하는 주소가 악성 Permit 및 Approve 거래에 서명하여 약 20만 달러의 USDC와 wmtUSDT가 피싱 공격자에게 도난당했습니다.GoPlus는 사용자가 어떤 체인 상의 승인(Approve) 또는 오프라인 서명(Permit) 요청에 서명할 때 거래 세부사항과 계약 주소를 반드시 신중하게 확인하여 출처가 불분명한 악성 요청에 서명하지 않도록 하여 자산 도난을 방지해야 한다고 밝혔습니다.

GoPlus 모니터링에 따르면, 한 사용자가 악의적인 Approve 거래에 서명하여 피싱 공격자에게 약 8.5만 달러의 sNUSD를 빼앗겼습니다.

GoPlus 모니터링에 따르면, 약 8시간 전, 한 사용자가 악성 Permit 거래에 서명한 후, 피싱 공격자에게 176만 달러 가치의 USDC가 전송되었습니다.

GoPlus는 소셜 미디어에서 ClawHub 생태계의 가장 핵심적인 100개의 고빈도 다운로드 Skill에 대해 전체 보안 스캔을 실시한 보고서를 발표했으며, 차단된(Blocked) 기술 수는 21개(비율 21%)에 달하고, 경고(Warning)를 받은 기술 수는 17개(비율 17%)에 이릅니다.GoPlus는 Top 100 Skills 중 21%가 명확한 고위험 작업(예: 직접적인 네트워크 침투, 민감한 API 호출, 자동 발신 등)을 포함하고 있으며, 이러한 Skills를 실행할 때 "Human-in-the-Loop (HITL) 인공지능 확인" 메커니즘을 강제로 추가하여 고위험 행동에 대해 인공지능 검토를 수행할 것을 권장합니다. 17%의 Skills는 일정한 위험을 가지고 있으며, 신중하게 실행할 것을 권장합니다. 보안 요구 사항이 높은 사용자에게는 인공지능 확인을 추가할 것도 권장합니다.이러한 배경 속에서 GoPlus Security는 SafuSkill을 출시한다고 발표했습니다. SafuSkill은 보안을 우선시하는 Skills 시장으로, BNB Chain 위에 구축되어 있으며, Skills 시장, 자동 Skills 보안 스캔 엔진 및 개발자 관리 도구를 통합한 AI Agent Skills 플랫폼으로, 사용자가 더 안전한 AI Agent Skills를 선별하고 발견하는 데 도움을 주기 위해 설계되었습니다. AI Agent Skills에 대한 보안 스캔 및 실행 시 보호 기능을 제공하여 AI Agent 생태계가 더욱 투명하고 안전한 인프라 계층으로 발전하도록 촉진합니다.

据 GoPlus 发布的安全警报，攻击者通过 Google 搜索广告投放像素级完美克隆的 #Claude Code 官方安装页面的恶意软件，该恶意软件会窃取用户密码、Cookies、会话令牌和 Crypto 钱包、凭证、系统信息。GoPlus 建议识别搜索结果中的广告标识，仔细核对网址与官方网站的细微差别；通过官方文档、社交媒体或 GitHub 仓库等多渠道验证安装方法；对不熟悉的命令不要直接执行，运行前分析命令行为；安装安全插件以实时拦截钓鱼链接、风险签名、授权和交易。

Web3 보안 회사 GoPlus는 AI 개발 도구 OpenClaw가 최근 자가 공격 보안 사건에 노출되었다고 발표했습니다. 자동화 작업을 수행하는 과정에서 시스템이 Shell 명령을 호출하여 GitHub Issue를 생성하는 과정에서 잘못된 Bash 지시어를 구성하여 명령 주입이 우발적으로 발생하였고, 이로 인해 많은 민감한 환경 변수가 공개되었습니다.사건에서 AI가 생성한 문자열은 백틱으로 감싸진 set을 포함하고 있으며, 이는 Bash에 의해 명령 대체로 해석되어 자동으로 실행되었습니다. Bash가 인자 없이 set을 실행할 경우 현재 모든 환경 변수를 출력하기 때문에, 결국 100줄이 넘는 민감한 정보(텔레그램 키, 인증 토큰 등)가 GitHub Issue에 직접 작성되어 공개되었습니다. GoPlus는 AI 자동화 개발 또는 테스트 시나리오에서 Shell 명령을 직접 연결하는 대신 API 호출을 사용하고, 최소 권한 원칙에 따라 환경 변수를 격리하며, 고위험 실행 모드를 비활성화하고, 중요한 작업에 인적 검토 메커니즘을 도입할 것을 권장합니다.

GoPlus는 Custos와 장기 전략적 파트너십을 체결했다고 발표했습니다. 양측 팀은 토큰 잠금 사업을 중심으로 심층 협력을 진행하며, 온체인 자산 관리의 새로운 가능성을 탐색하고, 토큰 잠금을 기본 도구에서 프로토콜 수준의 자본 전략 인프라로 향상시킬 것입니다.양측은 명확한 경계와 서로 다른 역할을 유지하며 독립적으로 발전하는 동시에 전략적 시너지를 실현할 것입니다. Custos는 자산 관리 프로토콜 층의 혁신에 집중하여 토큰 잠금 사업을 더 높은 수준으로 발전시키는 데 힘쓸 것입니다. GoPlus는 안전한 인프라를 계속 구축하는 한편, Custos의 발전에 전략적 지원을 제공할 것입니다.

GoPlus는 Gork 4.2 테마의 4AGENT 토큰(계약 시작 주소 0x15ea)을 피리수토큰으로 간주하며, KOL과 스마트 머니가 피해를 입었고, 총 손실은 170 #BNB(약 10만 달러)라고 발표했습니다.공격 수익 중 123.7개의 BNB는 0xFcc7로 시작하는 주소로 전송되었고, 추가로 46개의 BNB는 orbiter를 통해 ETH로 교환되어 0x96f4로 시작하는 주소로 전송되었습니다. 개발자 자금 출처는 Bitget이며, 교차 체인 주소를 통해 확인해보면 이전에 동일하게 오픈 소스가 아닌 두 개의 악성 토큰: DEBOT과 U Lottery가 발행된 적이 있습니다.

GoPlus 한국 커뮤니티는 X 플랫폼에서 경고를 발표하며, 북한 해커가 npm 레지스트리에 26개의 악성 패키지를 배포했다고 전했습니다. 이 악성 패키지들은 모두 설치 스크립트("install.js")를 포함하고 있으며, 이 스크립트는 패키지 설치 과정에서 자동으로 실행되어 "vendor/scrypt-js/version.js"에 위치한 악성 코드를 실행합니다.악성 코드는 동일한 악성 URL을 통해 원격 접근 트로이 목마(RAT)를 다운로드하고 실행하여 키보드 기록, 클립보드 도용, 브라우저 자격 증명 수집, TruffleHog 비밀 스캔 Git 저장소 및 SSH 키 도용 등의 악성 행위를 수행합니다. 이번 사건은 "Famous Chollima"라는 이름의 북한 해커 활동과 관련이 있습니다.

GoPlus 한국 커뮤니티에서 경고를 발표했습니다. OpenClaw Gateway에 심각한 취약점이 발견되었으니, 즉시 2026.2.25 또는 그 이상의 버전으로 업그레이드하고, Agent 인스턴스에 부여된 불필요한 자격 증명, API 키 및 노드 권한을 감사하고 철회하시기 바랍니다.분석에 따르면, OpenClaw는 로컬 호스트에 바인딩된 WebSocket Gateway를 통해 실행되며, 이 Gateway는 Agent의 핵심 조정 계층으로 OpenClaw의 중요한 구성 요소입니다. 이번 공격은 Gateway 계층의 취약점을 겨냥하고 있으며, 단 하나의 조건을 충족하면 됩니다: 사용자가 브라우저에서 해커가 제어하는 악성 웹사이트에 접근하는 것입니다.완전한 공격 체인은 다음과 같습니다: 1. 피해자가 브라우저에서 공격자가 제어하는 악성 웹사이트에 접근합니다; 2. 페이지 내의 JavaScript가 로컬 호스트의 OpenClaw 게이트웨이에 WebSocket 연결을 시도합니다; 3. 이후 공격 스크립트가 초당 수백 번의 시도로 게이트웨이 비밀번호를 무차별 대입합니다; 4. 비밀번호가 성공적으로 해킹되면, 공격 스크립트가 신뢰할 수 있는 장치로 조용히 등록됩니다; 5. 공격자는 Agent의 관리자 수준의 제어 권한을 획득합니다.

GoPlus Security는 사용자에게 PromptSpy라는 새로운 Android 악성 소프트웨어에 주의할 것을 경고합니다. 이 악성 소프트웨어는 피싱 웹사이트(예: 은행 웹사이트로 위장)로 사용자를 유도하여 APK 파일을 다운로드하게 하고, 보조 기능 권한을 얻은 후 원격으로 장치를 제어할 수 있습니다.PromptSpy의 특별한 점은 Google Gemini API를 이용해 장치 인터페이스를 분석하고 공격 전략을 수립하여, 다양한 휴대폰 브랜드와 시스템 버전에 더 잘 적응할 수 있도록 하여 공격의 은폐성과 성공률을 높인다는 것입니다.

据 GoPlus 监测，一名用户因签署多个恶意 Approve 交易，被钓鱼者转走价值约 12.7 万美元的 USDC、TIBBIR、PAXG 资产。GoPlus 모니터링에 따르면, 한 사용자가 여러 악성 Approve 거래에 서명하여 피싱 공격자에게 약 12.7만 달러 상당의 USDC, TIBBIR, PAXG 자산을 빼앗겼습니다.

据 Bithumb 공식 발표에 따르면, Bithumb은 GoPlus (GPS) 원화 시장 거래 쌍을 추가할 예정입니다.

据 GoPlus 中文社区披露，预测市场平台 Polymarket 因订单系统中链下与链上交易结果同步机制的设计缺陷遭到黑客攻击。攻击者通过 nonce 操纵，使链上匹配交易在落地前被取消或失效，但链下记录仍有效，导致 API 误报，影响 Negrisk 等交易机器人的交易行为，导致用户损失。攻击过程分析如下：공격자가 Polymarket off-chain orderbook 에서 대량의 반대 거래를 제출/매칭합니다.공격자는 위조/중복 nonce 가 포함된 거래를 구성하거나 체인 상 nonce 경쟁을 이용하여 체인 상 거래가 반드시 revert 되도록 합니다.Polymarket API 는 체인 상 확인 전에 "거래 성공"을 bot 에게 반환하여 bot 이 포지션이 헤지되었다고 생각하게 하지만 실제 체인 상 상태는 아직 변경되지 않았습니다.공격자는 이후 실제 체인 상 거래로 bot 이 노출한 방향을 먹어 "무위험"으로 이익을 얻습니다.revert 가 체인 레이어에서 발생하기 때문에 Polymarket 수수료는 폭발하지 않으며, 공격 비용은 통제 가능하고 지속적으로 실행할 수 있습니다.GoPlus 는 사용자에게 자동화 거래 도구를 일시 중지하고, 체인 상 거래 상태를 검증하며, 지갑 보안을 강화하고, Polymarket 공식 발표를 주의 깊게 살펴볼 것을 권장합니다.

据 GoPlus 监测，一个近五年未活动的钱包在签署恶意 increaseApproval 交易后遭到入侵，攻击者窃取了价值约 6.6 万美元的 QNT。

GoPlus는 브라우저 플러그인 새로운 기능 GoPredict를 출시하여 예측 시장 Polymarket에 이벤트 위험 식별 지원을 제공합니다. GoPredict는 Polymarket 공식 Gamma API를 기반으로 하여, 이벤트 검증 가능성, 시장 유동성 및 가격 변동 등 여러 차원에서 시장 이벤트에 대한 실시간 위험 분석을 수행하고, Polymarket 이벤트 목록 페이지에서 직접 위험 수준을 표시하여 사용자가 베팅 전에 잠재적인 고위험 이벤트를 신속하게 식별할 수 있도록 도와줍니다. 이는 일반 사용자가 예측 시장에서 정보 비대칭 위험을 줄이고 참여 안전성과 의사 결정 효율성을 높이는 데 기여합니다.GoPredict는 현재 GoPlus 브라우저 플러그인과 함께 출시되었으며, 사용자는 Chrome 웹 스토어를 통해 다운로드하여 경험할 수 있습니다.

据 GoPlus 监测，某用户因签署恶意 permit、increaseAllowance 交易后，被钓鱼者转走价值 23 万美元的 aArbWETH 和 aEthLBTC。GoPlus 모니터링에 따르면, 한 사용자가 악의적인 permit 및 increaseAllowance 거래에 서명한 후 피싱 공격자에게 23만 달러 상당의 aArbWETH와 aEthLBTC를 빼앗겼습니다.