MOLOT 시스템 카드: 악성 운영 로직 관찰 트랜스포머 (Malicious Operational Logic Observation

MOLOT (Malicious Operational Logic Observation Transformer)은 패키지 메타데이터, 유지 관리자 이력, 동적 실행 추적(dynamic execution traces)을 사용할 수 없거나 신뢰할 수 없는 SAST (Static Application Security Testing, 정적 애플리케이션 보안 테스트) 환경을 위해 설계된 정적 악성 코드 탐지 시스템입니다. 이 시스템은 소스 코드를 정적 호출 그래프 (static call graphs)에서 파생된 동작 시퀀스 (behavior sequences)로 표현하며, 의심스러운 동작 활동의 순위를 매기고 이를 소스 코드 위치로 다시 매핑하는 설명 단계 (explanation stage)를 포함합니다. 이 접근 방식은 PyPI 및 npm의 Python 및 JavaScript 패키지를 대상으로 평가되었으며, 오픈소스 탐지 도구들과 비교되었고, 실제 운영 워크플로우에서 관찰된 실행 시간, 메모리 사용량 및 오탐률 (false-positive rates)을 포함한 제품 제약 조건 하에서 검증되었습니다. 또한, 악성 패키지 탐지 방법의 재현 가능한 평가를 위한 공개 벤치마크인 Open Malicious-Code Bench를 출시합니다. 결과에 따르면, 정적 동작 시퀀스 모델링 (static behavior-sequence modeling)은 현대적인 DevSecOps 워크플로우를 위해 정확하고 설명 가능하며 배포 가능한 악성 코드 탐지를 제공할 수 있습니다.