개발자를 공격하는 데 사용되는 PyPI 악성 패키지 업로드
최근 사이버 범죄 활동으로 인해 PyPI 플랫폼의 신규 사용자 가입이 중단되었습니다. 현재 PyPI 악성 패키지 업로드의 증가가 서비스 중단의 원인으로 추정되고 있습니다. 이 문서에서는 이러한 PyPI 악성 패키지 업로드에 대해 자세히 알아보고 관리자가 일시 중단한 이유에 대해 자세히 알아보겠습니다.
PyPI 악성 패키지: 가입 정지 발견
최근 언론 보도에 따르면에 따르면 3월 28일에 신규 사용자 등록과 신규 프로젝트 생성이 일시적으로 중단되었습니다. 이는 PyPI의 관리자가 멀웨어 캠페인으로 추정되는 것에 대한 대응 조치로 이루어졌습니다. 그러나 이 두 기능은 10시간 후에 모두 복구되었습니다.
여기서 언급할 가치가 있는 것은 PyPI 악성 패키지 업로드에 대한 더 이상의 자세한 내용은 PyPI의 발표. PyPI는 소프트웨어 공급망의 핵심 부분으로, 개발자가 유용한 코드를 공유하고 다운로드할 수 있게 해줍니다. 이러한 점을 고려할 때 이러한 사건에 대해 더 자세히 알아볼 필요가 있습니다.
사이버 보안 회사인 Checkmarx와 Phylum의 전문가들이 PyPI 악성 패키지 업로드와 유사하거나 관련된 것으로 보이는 멀웨어에 관한 연구 결과를 발표했습니다. PyPI의 악성 패키지에 대해 자세히 설명하면서 Checkmarx 팀은 다음과 같이 말했습니다. 언급했습니다.:
"이는 다단계 공격이며 악성 페이로드는 암호화폐 지갑, 브라우저의 민감한 데이터(쿠키, 확장 프로그램 데이터 등), 다양한 자격 증명을 훔치는 것을 목표로 합니다."
파이파이의 악성 패키지로 인한 악성 패키지로 인한 위협 에 대한 악성 패키지의 위협은 적시에 해결되지 않았다면 심각한 피해를 야기했을 수 있습니다. PyPI 악성 패키지 업로드에 대한 완화 조치에 대해 설명합니다, Phylum은 다음과 같이 말했습니다. 그:
"PyPI의 신속하고 강력한 대응이 이번 공격의 피해를 완화하는 데 도움이 된 것은 분명하지만, 그럼에도 불구하고 모든 생태계가 이러한 공격에 신속하고 효과적으로 대처할 수 있는 것은 아니라는 점을 지적할 필요가 있습니다."
PyPI에 대한 악성 패키지의 공격 순서
PyPI 악성 패키지 업로드의 공격 순서는 다른 소프트웨어 리포지토리에서 유발되는 멀웨어 캠페인. 최근 보고서에 따르면, 이 PyPI 보안 침해 사건은 개발자를 속여 합법적으로 보이지만 악의적인 코드 패키지를 다운로드하도록 유도하는 데 기반하고 있습니다.
현재로서는 필로우와 컬러라마와 같은 인기 있는 요소를 사용하는 개발자들이 적극적으로 표적이 된 것으로 보입니다. 이 두 요소는 각각 이미지와 텍스트 색상을 처리합니다. 두 회사의 연구원들은 PyPI 악성 패키지 업로드를 정상적으로 보이게 하기 위해 타이포스쿼팅이 사용된 것으로 보고 있습니다.
타이포스쿼팅은 파일 이름이 일반적인 패키지처럼 보이지만 잘못 배치되거나 추가 문자가 있는 파일에 이름을 붙이는 기법입니다. Phylum은 이 기법의 효과에 대해 다음과 같이 설명했습니다. "키보드에서 손가락 하나만 잘못 놓아도 컴퓨터가 손상될 수 있습니다."
이러한 PyPI 악성 패키지 업로드가 심각한 위협이 되는 이유는 멀웨어의 지속성 때문입니다. 일단 손상된 패키지가 다운로드되고 개발자가 작업을 시작하면 제3자의 개입 없이도 멀웨어를 실행할 수 있습니다. 이러한 멀웨어는 시스템을 완전히 재부팅한 후에도 살아남을 수 있다는 점을 여기서 언급할 필요가 있습니다.
다운로드된 패키지는 처음에 설치 프로그램이 Windows 운영 체제를 사용하는지 확인합니다. 만약 그렇다면, 패키지는 다음에서 난독화된 페이로드를 다운로드하고 실행합니다. "funcaptcha[.]ru." 그 후에도 이 패키지는 데이터 도난과 같은 멀웨어 기능을 계속 수행했습니다. 또한 이 패키지는 계속해서 "hvnc.py" 를 Windows 시작 폴더에 다운로드하여 지속성을 높였습니다.
PyPI 악성 패키지 업로드에 대한 세부 정보
제공 귀중한 인사이트 제공 귀중한 인사이트 제공 PyPI 보안 취약점이스라엘의 사이버 보안 기관인 Check Point는 3월 26일에 PyPI 악성 패키지 업로드가 시작되었다고 밝혔습니다. 업로드가 고유 계정에 연결되어 있다는 점을 감안할 때 전체 프로세스가 자동화되었다고 말할 수 있습니다.
한 가지 짚고 넘어가야 할 것은 파이파이의 각 악성 패키지는 의 각 악성 패키지는 서로 다른 신원을 표적으로 삼았기 때문에 교차 식별이 복잡합니다. 세부적인 내용은 다음과 같습니다. PyPI 악성 패키지 업로드에 대한 세부 사항은 아래 표에 나와 있습니다.
패키지 | 변형 수 |
요구 사항 | 67 |
Matplotlib | 38 |
요청 | 36 |
Colorama | 35 |
텐서플로 | 29 |
셀레늄 | 28 |
아름다운 수프 | 26 |
PyTorch | 26 |
베개 | 20 |
비동기 | 15 |
PyPI 가입이 중단된 것은 이번이 처음이 아니라는 점도 언급할 필요가 있습니다. 이전 사례 작년 5월, 11월, 12월에 이러한 중단 사례가 보고된 바 있습니다. 또한 2024년 1월 2일에도 비슷한 사건이 보고된 바 있습니다.
지속성을 고려할 때 PyPI 보안 침해 이벤트의 지속성을 고려할 때, 개발자와 조직 모두 멀웨어 기법을 철저히 이해해야 합니다. 이를 통해 온라인 위험을 줄이고 보안 태세를 개선하는 유능한 대응책을 개발하는 데 도움이 될 수 있습니다.
결론
PyPI의 신규 사용자 등록 및 패키지 업로드가 최근 일부 PyPI 악성 패키지 업로드. 이 패키지는 합법적인 자산으로 위장했지만, 표적이 된 개발자의 기기를 멀웨어로 감염시키려는 악의적인 의도를 가지고 있었습니다. 이 멀웨어는 Windows 디바이스에 침투하여 데이터를 훔치고, 지속성을 높이기 위해 추가 스크립트를 다운로드하여 실행하도록 설계되었습니다.
사이버 위협의 진화와 이로 인한 피해를 고려할 때, 사전 예방적 보안 솔루션을 구현하는 것은 사전 예방적 보안 솔루션 을 구현하는 것은 이제 디지털 자산을 보호하고 위험을 완화하는 데 필수적입니다.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 The Record.