개발자를 노리는 29개의 악성 PyPI 패키지를 발견한 연구원들
위협 행위자들은 실제처럼 보이는 파일 이름과 숨겨진 임포트를 사용하여 개발자를 속이고 데이터를 훔치기 위해 인기 있는 Python 패키지 인덱스(PyPI) 서비스에 악성 Python 패키지를 유포하고 있습니다.
W4SP 멀웨어는 정보를 훔치는 데 사용되는 데이터 훔치기 Python 패키지입니다. 소프트웨어 공급망 회사인 Phylum에 의해 발견되었으며, Python 프로그래밍 언어의 공식 타사 소프트웨어 저장소인 PyPI(Python Package Index)에서 29개의 패키지를 소유하고 있습니다. 또한 이 패키지는 비교적 무해한 이름이나 합법적인 패키지와 유사한 이름을 사용했는데, 이를 타이포스쿼팅이라고 합니다. 타이포스쿼팅 수법으로 인해 5,700건 이상의 패키지가 다운로드되었습니다.
암호화폐에 대한 정보를 훔치고, 데이터를 훔치고, 개발자 시스템에서 로그인 정보, 브라우저 쿠키, 시스템 메타데이터, 디스코드 토큰, 메타마스크의 데이터를 수집하도록 설계된 오픈 소스 파이썬 기반 트로이 목마인 W4SP 스틸러로 개발자의 시스템을 오염시키기 위해 공격자는 가짜 파이썬 패키지를 만들고 기본적인 기술을 적용합니다.
이 공격은 2022년 10월 12일경에 시작되어 10월 22일에 절정에 달했습니다. 악성 임포트는 대부분의 패키지, 특히 오래된 패키지의 setup.py 또는 init.py 파일에 간단히 삽입되었습니다. 영향을 받은 패키지 목록은 다음과 같습니다: typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte, pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color 및 pyhints입니다.
필룸은 이 공격의 궁극적인 목표는 "정보 탈취 트로이 목마 W4SP 스틸러를 설치하여 피해자의 시스템을 나열하고 브라우저에 저장된 비밀번호를 탈취하고 암호화폐 지갑을 노리며 '은행' 및 '비밀' 등의 키워드를 사용하여 흥미로운 파일을 검색하는 것"이라고 설명했습니다.
이 글의 출처는 TheHackerNews의 기사입니다.