스택 익스체인지에서 확산되는 암호화 멀웨어 파이썬 패키지

최근 언론 보도에 따르면 개발자 Q&A 플랫폼인 스택 익스체인지에서 파이썬 패키지를 통해 배포되고 있는 암호화폐 멀웨어가 발견되었습니다. 이 멀웨어가 활성화되면 표적이 된 사용자의 암호화폐 지갑을 탈취할 수 있습니다. 이 글에서는 코드의 작동 방식과 관련된 악성 패키지 등을 중점적으로 살펴보겠습니다. 시작하겠습니다!

파이썬 패키지 암호화 멀웨어 발견

이 암호화 멀웨어와 관련된 공격 캠페인은 2024년 6월 25일에 시작되었습니다. 현재 이 공격은 표적화된 접근 방식을 따르고 있으며, 솔라나 및 레이디움과 관련된 암호화폐 사용자를 선별한 것으로 보입니다.

이 암호화 멀웨어는 총 2,000회 이상 다운로드된 여러 개의 파이썬 패키지를 통해 암호화폐에 적극적으로 관여하는 사용자에게 배포되었습니다. 이러한 패키지의 이름과 다운로드 횟수는 다음과 같습니다:

공격의 세부 사항에 관한 한, 이러한 악성 Python 패키지를 통해 전달되는 암호화 멀웨어는 완전한 정보 탈취자의 모든 작업을 수행할 수 있습니다.

이러한 기능을 통해 침해된 디바이스에서 액세스할 수 있는 쿠키, 신용카드 정보, 웹 브라우저 비밀번호, 암호화폐 지갑을 획득할 수 있었습니다. 또한 세션, 텔레그램, 시그널과 같은 메시징 앱에 연결된 정보에도 액세스할 수 있었습니다.

이 암호화 멀웨어는 스크린샷을 캡처하고 파일을 검색할 수도 있었습니다. 수집한 정보는 압축되어 위협 행위자가 텔레그램에서 관리하고 있는 두 개의 다른 봇으로 전송되었습니다.

심각성을 더하기 위해 정보 탈취자는 백도어 구성 요소도 가지고 있었습니다. 이 구성 요소는 위협 행위자가 지속성을 유지하고 표적 디바이스를 장기간 침해하기 위해 사용했습니다.

암호화 멀웨어 코드 기능 및 공격 체인

이 암호화 멀웨어의 공격 체인은 여러 단계로 나뉘는데, 이는 플러그엑스 멀웨어 및 기타 정교한 로더에서 자주 볼 수 있는 다층적 접근 방식을 따릅니다. 모든 단계에서 악성 행위를 숨기고 합법적인 인상을 주기 위한 수단으로 '레이듐' 패키지 목록과 'spl-types '가 사용되었습니다. 위협 행위자들은 개발자 Q&A 플랫폼인 Stack Exchange를 사용하여 다운로드를 유도했는데, 이는 인기 있는 토론 플랫폼을 통해 ChatGPT 멀웨어를 유포하는 데 사용된 유사한 수법을 반복하는 것입니다.

그들은 플랫폼에 질문에 대한 답변을 게시하고 개발자에게 Python을 사용하여 레이디움에서 스왑 거래를 수행하도록 요청했습니다. 이 단계에서는 위협 행위자가 도달 범위를 극대화하고 더 많은 사용자를 타겟팅할 수 있도록 가시성이 높은 스레드를 사용했습니다.

악성 패키지가 설치되면 코드가 자동으로 실행됩니다. 그 후 피해자의 디바이스를 손상 및 제어하고, 데이터를 유출하고, 암호화폐 지갑을 유출하는 등 미리 구성된 일련의 이벤트를 따랐습니다. 이러한 수법이 사용된 것은 이번이 처음이 아니라는 점을 여기서 언급할 필요가 있습니다.

2024년 5월, 다른 Q&A 플랫폼인 스택 오버플로에서 pytoileur라는 이름의 또 다른 파이썬 패키지가 배포되었습니다. 이러한 악의적인 행동의 목적은 역시 암호화폐 도난이었습니다. 이러한 패턴은 공격자가 악의적인 의도를 수행하기 위해 커뮤니티 중심 플랫폼 내의 신뢰를 조작하고 있음을 나타냅니다.

결론

이 놀라운 캠페인은 스택 익스체인지와 같이 신뢰할 수 있는 플랫폼을 통해 개발자를 노리는 암호화폐 멀웨어의 위협이 증가하고 있음을 강조합니다. 공격자들은 파이썬 패키지를 활용하여 민감한 데이터를 은밀하게 유출하고 암호화폐 지갑을 탈취할 수 있습니다. 특히 개발자 환경을 노리는 Linux 멀웨어 변종이 증가함에 따라 이러한 정교한 공격으로부터 보호하려면 경계와 강력한 보안 조치가 필수적입니다.

이 글의 출처는 해커 뉴스와 테크 엑스퍼트의 기사 등입니다.