ClickCease 리눅스 기기에서 코인마이너를 숨기는 악성 PyPI 패키지 3가지

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

리눅스 기기에서 코인마이너를 숨기는 악성 PyPI 패키지 3가지

로한 티말시나

2024년 1월 17일 TuxCare 전문가 팀

최근 사이버 보안 폭로에서 PyPI(Python 패키지 인덱스) 가 모듈세븐, 드리프트미, 캣미 등 세 가지 악성 패키지의 침투로 인해 피해를 입었습니다. 이 패키지는 현재 제거되었지만 지난 한 달 동안 약 431건의 다운로드를 기록하여 Linux 디바이스의 보안에 심각한 위협이 되고 있습니다.

 

암호화폐 채굴 연결

 

포티넷 포티가드랩의 연구원 개비 시옹은 이 패키지를 자세히 살펴본 결과, 컬처스트릭이라는 이전 캠페인에서 사용된 것과 유사하다는 사실을 발견했습니다. 이전과 마찬가지로 이 악성 패키지는 최초 사용 시 Linux 디바이스에 CoinMiner 실행 파일을 배포하여 암호화폐 채굴을 주요 위협으로 삼습니다.

이러한 PyPI 악성 패키지는 페이로드를 성공적으로 숨겨서 악성 코드의 탐지 가능성을 낮춥니다. 주요 방법은 원격 URL, 특히 init.py 파일에서 페이로드를 호스팅하는 것입니다. 이 파일은 원격 서버에서 초기 단계를 디코딩하고 검색하여 "unmi.sh"라는 셸 스크립트를 가져오는데, 이 스크립트는 구성 파일과 GitLab에서 호스팅되는 코인마이너 실행 파일을 가져오는 역할을 담당합니다.

 

실행 및 지속성

 

그런 다음 ELF 바이너리 파일은 nohup 명령을 사용하여 백그라운드에서 실행되어 사용자가 세션을 종료한 후에도 프로세스가 계속 작동하도록 합니다. 특히, 이 패키지는 추가 단계를 도입하여 컬처스트릭 패키지보다 개선된 모습을 보여줍니다. 이 추가 단계는 셸 스크립트 내에 악의적인 의도를 숨겨 보안 소프트웨어의 탐지를 회피하고 익스플로잇 프로세스를 연장하는 능력을 강화합니다.

코인 채굴 실행 파일이 공개 GitLab 리포지토리에서 호스팅되고 도메인 papiculo[.]net에 설정 파일이 있는 것으로 보아 컬처스트릭 패키지와 연관성이 있는 것으로 보입니다. 이러한 연관성은 공통된 출처를 가진 유해한 패키지의 배포에서 우려스러운 패턴을 강조하며, 파이썬 개발자들 사이에서 경각심을 높여야 할 필요성을 강조합니다.

또한, 이러한 PyPI 패키지의 ~/.bashrc 파일에 악성 명령을 도입하면 악성 코드가 사용자 디바이스에서 지속되고 다시 활성화됩니다. 이러한 전략적인 움직임은 공격자의 이익을 위해 사용자 디바이스를 장기간 은밀하게 악용할 수 있게 해줍니다.

 

결론

 

이러한 악성 PyPI 패키지의 발견은 파이썬 개발 생태계를 노리는 사이버 위협이 점점 더 정교해지고 있음을 보여줍니다. 개발자와 보안 전문가는 경계를 늦추지 말고 악성 패키지의 침투를 탐지하고 방지하기 위한 강력한 조치를 실행해야 합니다.

 

이 글의 출처는 TheHackerNews의 기사입니다.

요약
리눅스 기기에서 코인마이너를 숨기는 악성 PyPI 패키지 3가지
기사 이름
리눅스 기기에서 코인마이너를 숨기는 악성 PyPI 패키지 3가지
설명
세 가지 악성 PyPI 패키지의 위험성을 살펴보고, 이들의 정교한 수법과 파이썬 개발자에 대한 진화하는 위험성을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기