사이버 보안 전문 매체 블리핑컴퓨터에 따르면, 파이토치 관리자가 연휴 사이에 파이토치를 설치한 사용자에게 보안 문제를 경고했다. 파이토치(PyTorch)가 torchtriton 라이브러리와 같은 이름을 이용한 악성 의존성 문제를 발견했기 때문이다. 해당 문제는 의존성 혼합 공격 벡터를 동원해 보안을 악화한다.
파이토치 관리자는 12월 25일부터 30일까지 연휴 기간에 파이토치 프레임워크를 설치한 사용자의 보안 문제 확인이 필요하다고 공지했다.
파이토치 관리자가 경고한 악성 torchtriton 의존성은 파이썬 생태계로 의존성을 가져올 때, 기기에 악성 패키지를 실행하게 된다.
파이토치 관리자는 경고 사항을 통해 “공식 저장소가 아닌 악성 패키지가 설치된 사례를 확인했다. 악성 패키지는 서드파티 인덱스에 존재한 것과 같은 공식 라이브러리 명칭을 이용했다. 그리고 정식 저장소가 아닌 악성 프로그램을 기본 설정으로 대신 지정한다”라고 설명했다.
악성 torchtriton은 사용자 시스템의 기본 지문 인식 정보(IP 주소, 사용자 이름 등)는 물론이고, 민감 데이터를 탈취할 수도 있다. 이후 wheezy.io DNS 서버를 사용하는 암호화 DNS 쿼리를 통해 파일 콘텐츠를 포함한 모든 데이터를 h4ck.cfd 도메인에 업로드한다.
파이토치는 조작된 torchtriton에 포함된 악성 triton 바이너리는 사용자가 triton 패키지를 내보낼 때만 실행된다고 전했다. 이 과정은 파이토치의 기본 행동이 아닌 명확한 코드가 필요하다. 또, triton 바이너리는 메타데이터 수집을 넘어서 SSH 키와 호스트 파일, passwd 파일을 포함한 민감 정보를 탈취한다.
게다가 블리핑컴퓨터는 torchtriton이 널리 알려진 안티-VM(anti-VM)을 동원해 보안 문제 감지를 피한다는 사실을 확인했다. 악성 페이로드를 완벽히 불분명한 상태로 만들고는 Linux ELF 파일과 같은 바이너리 포맷에 포함하면서 의존성 혼란을 일으킨다는 사실도 발견됐다.
한편, 매체는 12월 마지막 주 악성 torchtriton 의존성 다운로드 횟수가 2,300건을 넘어선 사실을 확인했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
