[보안이슈] PyPI 저장소. 정보 탈취 악성 코드 심겨진 패키지 10개 발견

파이썬 최대의 코드 저장소인 PyPI에서 다시금 악성 코드 패키지가 발견됨.

최근들어 위협 행위자들은 코드 저장소에 악성코드가 포함된 패키지를 올리는 방식으로 공격을 하고 있음. 

이러한 트렌드가 굳혀저 가는 추세.

PyPI에서의 이러한 공격 시도를 제일 먼저 발견한 곳은 보안 업체 Check Point이다. 

Check Point는 열개의 악성코드를 분석하여 정보 탈취형 멀웨어를 설치하는 드로퍼라는 것을 알아냄. 

정상 코드인 것처럼 꾸며져 있으며, PyPI 내 인기있는 패키지와 비슷한 형태로 제작되기도 함.

주로 패키지 설치 스크립트에 악성코드를 숨겨 두었는데, 이 동작방식은 다음과 같다.
① 패키지를 다운받은 사용자가 pip 통해 설치 진행 시

② 백그라운드에서 악성코드가 실행되며

③ 멀웨어 드로퍼가 사용자의 컴퓨터에 심겨진다.

 

[악성 코드가 심겨진 패키지]

A. ascii2text 패키지의 경우 악성 코드가 __init__.py에 삽입, 해당 파일은 setup.py라는 설치 스크립트를 통해 임포트.

          i. 사용자가 설치하려 하면 로컬시스템 내 password를 검색하는 스크립트가 실행

          ii. 발견된 password들은 공격자들의 디스코드 서버로 업로드.

B. 코드 점검을 위한 패키지처럼 위장된 채로 다운로더가 심겨진 Test-async 패키지

C. WINPCexploit 패키지는 사용자의 크리덴셜을 훔치는 기능

D. Free-net-vpn, Free-net-vpn2는 환경변수를 훔치는 악성 패키지

E. 패키지 중 Pyg-utils, Pymocks, PyProto2의 경우, 같은 공격자가 개발한 것으로 추정.

          i. AWS 크리덴셜을 훔치는 멀웨어를 PyPI에 유포시킨 인물과 동일인물로 추정

          ii. Pyg-utils에 숨겨진 악성 설치 스크립트 실행 시 AWS 크리덴셜 탈취 캠페인에 사용된 악성 도메인과 연결.

 

 

해당 뉴스 링크 >> https://www.boannews.com/media/view.asp?idx=108955&page=1&kind=1 

또 PyPI! 정보 탈취 악성 코드 심겨진 패키지 10개 이상 발견돼