기술 지원
문서
로그인
문의하기
TuxCare 블로그
최근 사이버 보안 폭로에서 PyPI(Python 패키지 인덱스) 가 모듈세븐, 드리프트미, 캣미 등 세 가지 악성 패키지의 침투에 희생되었습니다. 이 패키지는 현재 제거되었지만 지난 한 달 동안 약 431건의 다운로드 횟수를 기록하여 Linux 디바이스의 보안에 심각한 위협이 되고 있습니다.
암호화폐 채굴 연결
포티넷 포티가드랩의 연구원 개비 시옹은 이 패키지를 자세히 살펴본 결과, 이전 컬처스트릭 캠페인에서 사용된 것과 유사하다는 사실을 발견했습니다. 이전과 마찬가지로, 이 악성 패키지는 최초 사용 시 Linux 디바이스에 코인마이너 실행 파일을 배포하여 암호화폐 채굴을 주요 위협으로 삼습니다.
이러한 PyPI 악성 패키지는 페이로드를 성공적으로 숨겨서 악성 코드의 탐지 가능성을 낮춥니다. 주요 방법은 원격 URL, 특히 init.py 파일에서 페이로드를 호스팅하는 것입니다. 이 파일은 원격 서버에서 초기 단계를 디코딩하고 검색하여 "unmi.sh"라는 셸 스크립트를 가져오는데, 이 스크립트는 구성 파일과 GitLab에서 호스팅되는 코인마이너 실행 파일을 가져오는 역할을 담당합니다.
실행 및 지속성
그런 다음 ELF 바이너리 파일은 nohup 명령을 사용하여 백그라운드에서 실행되어 사용자가 세션을 종료한 후에도 프로세스가 지속적으로 작동하도록 합니다. 특히, 이 패키지는 추가 단계를 도입하여 컬처스트릭 패키지보다 개선된 모습을 보여줍니다. 이 추가 계층은 셸 스크립트 내에 악의적인 의도를 숨겨 보안 소프트웨어의 탐지를 회피하고 익스플로잇 프로세스를 연장하는 능력을 향상시킵니다.
코인 채굴 실행 파일을 공개 GitLab 리포지토리에서 호스팅하고 도메인 papiculo[.]net의 구성 파일을 통해 컬처스트릭 패키지와 연관성이 있음을 알 수 있습니다. 이러한 연관성은 공통된 출처를 가진 유해한 패키지의 배포에서 우려스러운 패턴을 강조하며, 파이썬 개발자들 사이에서 경각심을 높여야 할 필요성을 강조합니다.
또한, 이러한 PyPI 패키지의 ~/.bashrc 파일에 악성 명령을 도입하면 악성 코드가 사용자 디바이스에서 지속되고 다시 활성화될 수 있습니다. 이러한 전략적 움직임은 공격자의 이익을 위해 사용자 디바이스를 장기간 은밀하게 악용할 수 있도록 합니다.
결론
이러한 악성 PyPI 패키지의 발견은 파이썬 개발 생태계를 노리는 사이버 위협이 점점 더 정교해지고 있음을 보여줍니다. 개발자와 보안 전문가는 경계를 늦추지 말고 악성 패키지의 침투를 탐지하고 방지하기 위한 강력한 조치를 실행해야 합니다.
이 글의 출처는 TheHackerNews의 기사입니다.
