ClickCease 리버스 셸을 배포하는 48개의 악성 npm 패키지에 주의하세요.

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

리버스 셸을 배포하는 48개의 악성 npm 패키지에 주의하세요.

로한 티말시나

2023년 11월 17일 - TuxCare 전문가 팀

최근 발견한 사례에 따르면, npm 저장소에 숨어 있는 48개의 악성 npm 패키지가 발견되었습니다. 이 까다로운 패키지는 손상된 시스템에 리버스 셸을 배포할 수 있어 심각한 문제가 될 수 있습니다.

이 상황을 더욱 우려스럽게 만드는 것은 이러한 패키지가 합법적으로 보이도록 위장되었다는 점입니다. 이 패키지에는 설치하자마자 리버스 셸을 실행하도록 설계된 난독화된 자바스크립트 코드가 포함되어 있었습니다. 소프트웨어 공급망 보안 회사인 Phylum은 이러한 교묘한 패키지를 주시해 왔습니다.

 

공격 세부 정보

 

이 사기성 npm 패키지의 배후에 있는 사람은 npm과 GitHub에서 hktalent라는 이름으로 활동하고 있습니다. 이 글을 쓰는 지금 이 순간에도 이 사람이 업로드한 두 개의 패키지는 여전히 다운로드할 수 있습니다. 이는 잠재적인 위협이 여전히 존재한다는 뜻입니다.

그렇다면 이 공격은 어떻게 작동할까요? 이러한 패키지 중 하나를 설치하면 숨겨진 함정이 활성화됩니다. 이 함정은 패키지.json 파일에 있는 설치 후크의 형태로, 자바스크립트 코드를 실행합니다. 이 코드는 공격자가 제어하는 서버인 rsh.51pwn[.]com에 대한 리버스 셸 연결을 몰래 설정합니다. 이 수법의 희생양이 되면 시스템이 손상될 수 있습니다.

Phylum은 공격자가 정상적으로 들리는 패키지 이름과 여러 계층의 난독화를 조합하여 리버스 셸을 은밀하게 배포했다고 지적했습니다. 이는 의심하지 않는 사용자의 방심을 노린 영리한 전술입니다.

하지만 이것이 전부가 아닙니다. 파이썬 패키지 인덱스(PyPI)에 게시된 두 개의 패키지가 겉으로 보이는 것과 다르다는 사실이 밝혀졌습니다. 로컬라이제이션-유틸과 로큐트라고 불리는 이 패키지는 국제화를 위한 유용한 도구인 것처럼 보였지만 숨겨진 의도가 있었습니다. 이 패키지들은 텔레그램 데스크톱 애플리케이션에서 민감한 데이터를 훔치고 시스템 정보를 수집하도록 설계된 악성 코드가 포함되어 있었습니다.

여기서 교묘한 부분은 이 패키지가 동적으로 생성된 페이스트빈 URL에서 최종 악성 페이로드를 가져와, 텔레그램에서 알려지지 않은 공격자가 제어하는 채널로 탈취한 정보를 전송한다는 점입니다. 즉, 합법적인 패키지를 다운로드하고 있다고 생각하더라도, 자신도 모르게 데이터를 사이버 범죄자에게 노출시킬 수 있다는 뜻입니다.

 

결론

 

이해해야 할 중요한 점은 위협 행위자들이 점점 더 오픈 소스 환경을 표적으로 삼고 있다는 점입니다. 공격자들은 이러한 플랫폼을 수많은 사용자에게 한꺼번에 피해를 줄 수 있는 공급망 공격을 수행할 수 있는 기회로 보고 있습니다. 이는 오픈소스 커뮤니티에서 신뢰가 얼마나 중요한지 냉정하게 상기시켜 줍니다.

따라서 오픈 소스 소프트웨어의 세계를 탐험할 때는 항상 주의를 기울이고, 패키지와 작성자의 신뢰성을 확인하고, 의심스러운 활동에 대해 경계를 늦추지 마세요. 사이버 보안은 여러분의 손에 달려 있습니다!

 

이 글의 출처는 TheHackerNews의 기사입니다.

요약
리버스 셸을 배포하는 악성 npm 패키지에 주의하세요.
기사 이름
리버스 셸을 배포하는 악성 npm 패키지에 주의하세요.
설명
리버스 셸을 배포하는 48개의 악성 npm 패키지의 위험성에 대해 알아보세요. 오픈 소스 소프트웨어의 사이버 보안에 대한 경계를 늦추지 마세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기