체크포인트(Check Point) 계열사 스펙트랄롭스(Spectralops) 연구팀이 파이썬 소프트웨어 저장소인 PyPI에서 악성 패키지 10개를 발견했다.
해외 온라인 매체 Brytfmonline은 연구팀의 조사 내용을 인용, 해커 세력이 유명 패키지와 비슷한 이름과 설명을 적용해, 사용자를 속이면서 악성코드를 실행했다고 설명했다.
악성 패키지 설치 시 해커는 사용자의 개인 정보 및 자격 증명을 탈취할 수 있다. PyPI는 활성화 사용자 60만 9,020명이며, 총 38만 8,565개의 프로젝트를 대상으로 총 360만여 가지 버전을 두고 작업하고 있어, 피해 규모가 클 것으로 보인다.
지금까지 PyPI에서 발견된 악성 패키지 종류는 다음과 같다.
먼저, Ascii2text는 특정 악성코드를 다운로드하고 실행하도록 유도하여 로컬 비밀번호를 탐색하고 디스코드 웹 훅을 이용하여 조작한다.
Pyg-utils, Pymocks, PyProto2. Pyg-utils는 setup.py 설치에 관여하며 피싱 공격의 인프라일 것으로 추측되는 악성 도메인 phgrata.com과 연관되어 있다. Pymocks와 PyProto2는 Pyg-utils와 거의 똑같은 코드이며 대신 pymocks.com 라는 다른 도메인과 연관되어 있다.
asynchronous test는 설명에 “매우 훌륭하면서 유용하며, 반드시 설치해야 하는 패키지이다”라는 설명을 내세워 많은 사용자의 설치를 유도했다. 패키지의 setup.py 설치코드는 웹에서 악성코드는 다운로드 받아 실행시킨다. 한 가지 특이한 점은 다운로드 시작 시에 디스코드 채널에 ‘새로운 재생’ 메시지가 뜬다.
Free-net-vpn 과 Free-net-vpn2는 환경 변수를 표적으로 삼는다. DNS 맵핑 서비스를 이용해, 탈취한 정보를 다른 곳으로 전송한다.
zips는 유명한 파이썬 패키지 zlib을 혼동한 사용자를 표적으로 삼았을 확률이 높다. 이 패키지는 설치되는 동안 설치하는 자의 개인 정보를 훔쳐 디스코드의 웹 링크로 보낸다.
마지막으로 WINRPCexpoitlt는 설명에 ‘윈도우 RPC 남용 패키지’라는 설명이 포함되었으나 사용자 정보를 외부로 유출했다.
한편, 연구팀은 PyPI 악성 패키지의 정확한 피해 규모를 구체적으로 밝히지는 않았다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
