기술 지원
문서
로그인
문의하기
공격자는 악성 파이썬 패키지를 활용하여 W4SP Stealer를 유포합니다.
2022년 11월 29일 TuxCare 홍보팀
Checkmarx의 보안 연구원들이 W4SP Stealer로 식별되는 멀웨어를 유포하는 공급망 공격이 진행 중이라는 사실을 발견했습니다.
W4SP Stealer는 디스코드 멀웨어로, 피해자 PC에 있는 모든 디스코드 계정, 비밀번호, 암호화폐 지갑, 신용카드 및 기타 데이터를 탈취한 후 공격자에게 다시 전송합니다.
W4SP Stealer는 현재 20달러에 판매되고 있으며, 관심 있는 구매자는 암호화폐 또는 기프트 카드로 결제할 수 있습니다. WASP의 제작자는 이 제품이 전혀 탐지할 수 없으며 "멋진 난독화로 보호된다"고 주장합니다.
공격자들은 악성 Python 패키지를 활용하여 멀웨어를 배포합니다. 체크마크는 이미 수백 명의 사용자가 이 멀웨어의 피해자가 되었다고 주장했습니다. 따라서 체크마크의 보고서는 파이썬 패키지 인덱스(PyPI)에 게시된 30개의 서로 다른 모듈을 발견한 필럼과 체크포인트의 조사 결과를 뒷받침합니다. 이 모듈들은 멀쩡해 보이는 패키지로 위장하여 악성 코드를 전파하도록 특별히 설계되었습니다.
Checkmarx의 연구원들에 따르면, 이 공격의 배후에 있는 위협 행위자는 "WASP"입니다. 공격자는 다형성 멀웨어, 재부팅 퍼시스턴트 및 속기 기술을 사용하여 패키지 내부에 코드를 숨기고 이 과정에서 가짜 GitHub 평판을 구축합니다.
다형성 코드는 다형성 엔진을 사용하여 원래 알고리즘을 그대로 유지하면서 변형을 가합니다. 즉, 코드의 기능은 동일하게 유지되지만 코드가 실행될 때마다 코드 자체가 변경됩니다. 이 기술은 컴퓨터 바이러스, 셸코드 및 컴퓨터 웜이 자신의 존재를 숨기기 위해 사용합니다.
악성 패키지를 설치한 후 setup.py 스크립트가 실행되고 추가 Python 패키지가 설치됩니다. setup.py 스크립트는 .PNG 이미지를 다운로드하여 운영 체제의 임시 디렉터리에 저장합니다. 그런 다음 setup.py 스크립트는 악성 "judyb" 패키지에 있는 "Isb.reveal" 함수를 사용하여 다운로드한 이미지에서 숨겨진 코드를 추출합니다.
이 글의 출처는 TheHackerNews의 기사입니다.
