우리 11월에 W4SP 스틸러에 대해 처음 보고했습니다. 새로운 파이썬 공급망 공격에 대한 광범위한 뉴스에 대한 대응이었습니다. 안타깝게도 종종 그렇듯이 W4SP Stealer는 앞으로도 계속 존재할 것으로 보이며, 전 세계의 Python 코드 패키지를 계속 괴롭힐 것입니다.

이 글에서는 W4SP Stealer의 기원을 다시 살펴보고, PyPI에 침투하여 어떻게 전 세계 파이썬 개발자에게 위협이 되는지 설명하며, 실사가 여전히 최선의 방어책인 이유를 설명합니다.

W4SP 스틸러란 무엇인가요?

이 큰 사건에 연루된 멀웨어인 W4SP Stealer는 알려지지 않은 기간 동안 존재해 왔습니다. 한때 이 트로이 목마의 코드가 GitHub에서 무료로 제공되었지만, 커뮤니티에서 이를 발견하고 GitHub 페이지를 비활성화했습니다. (암호화폐나 기프트 카드로 결제할 수 있는 이 트로이 목마 코드는 여전히 20달러에 구매할 수 있다고 합니다).

보고된 바에 따르면 W4SP 스틸러는 일반적으로 피싱 캠페인이나 소프트웨어의 취약점을 악용하여 유포되는 것으로 나타났습니다. 한때는 틱톡 챌린지를 통해 확산되기도 했습니다..

W4SP 스틸러가 수집할 수 있는 정보는 다양하지만 신용카드 정보 및 비밀번호가 포함될 수 있습니다. 또한 이 멀웨어는 암호화폐 지갑과 디스코드 토큰을 노릴 수도 있습니다. 사실, 이 멀웨어는 유용해 보일 수 있는 모든 파일을 슬쩍할 수 있습니다. 이 멀웨어는 billythegoat356, BillyV3, BillyTheGoat와 같은 이름을 사용하는 누군가가 게시했습니다.

W4SP 스틸러는 어떻게 파이썬 공급망에 침투하게 되었나요?

파이썬 코드 공급망에 침투한 W4SP에 대한 보고는 2022년 11월과 12월부터 시작되었지만, 실제로는 그 이전부터 존재했습니다, 2022년 8월에 처음 발견되었습니다. 개발자의 소프트웨어 공급망 보안을 지원하는 Phylum이라는 회사에서 처음 발견했습니다.

이 멀웨어는 PyPI(Python 패키지 인덱스)에서 제공되는 패키지에서 발견되었습니다. PyPI는 사용자가 타사 라이브러리, 도구, 애플리케이션 등 Python 커뮤니티에서 만든 패키지 및 모듈을 쉽게 다운로드하고 설치할 수 있는 Python 소프트웨어 패키지 저장소입니다. 사용자가 재사용 가능한 코드를 찾고 공유할 수 있는 중앙 위치로, 개발 프로세스의 속도를 높여줍니다.

하지만 패키지 생태계를 지속적으로 모니터링하는 것은 매우 어렵습니다. 이를 위해서는 많은 리소스가 필요하며, 바로 이 점이 Phylum이 필요한 이유입니다. 포스트에서 포스트 이후에서 Phylum 연구팀은 W4SP Stealer의 스폰서가 어떻게 기본 탐지 메커니즘을 회피하여 PyPI 패키지에 악성 코드를 삽입할 수 있었는지 보고했습니다.

그 결과, 코드에 긴 PyPI 패키지 목록 중 하나를 배포하는 Python 개발자는 실수로 W4SP Stealer용 코드도 포함하게 됩니다. 다음과 같은 패키지 modulesecurity, informmodule 및 randomtime 에는 W4SP Stealer 코드가 포함되어 있으며 수많은 개발자가 사용해 왔습니다.

공급망 공격(새로운 내용 없음)

소프트웨어 공급망 공격은 공격자가 소프트웨어 개발 프로세스에 침투하여 악성 코드를 삽입하거나 취약점을 악용하는 것을 말합니다. 공격은 사용되는 구성 요소, 타사 라이브러리 및 종속성, 빌드 및 패키징 프로세스, 소프트웨어 업데이트 배포 등 공급망의 모든 단계에서 시작될 수 있습니다. 

PyPI를 겨냥한 공급망 공격은 파이썬, PHP, 자바, 자바스크립트 등 많은 패키지 생태계에서 일어나는 전형적인 현상입니다. 많은 개발자가 많은 패키지를 만들지만 모든 제출물을 올바르게 검사할 수 있는 리소스가 부족한 상황입니다.

따라서 개발자가 작업을 간소화하기 위해 라이브러리를 찾기 위해 검색하는 것과 동일한 패키지 목록에 W4SP Stealer와 같은 악의적인 의도가 있는 것이 침투할 수 있습니다. 개발자가 실사를 제대로 하지 않을 경우, 원하는 것보다 더 많은 것을 얻을 수 있고 결과적으로 애플리케이션 내부에 악성 코드를 배포할 수 있다는 것을 W4SP Stealer가 증명합니다. 

개발자가 실사를 수행하기 위해 무엇을 할 수 있나요? 

• 신원 조회 수행: 급할 때 하기 힘든 일이지만 중요한 일입니다. 개발자는 PyPI와 같은 패키지 저장소에 게시하는 공급업체를 포함하여 타사 공급업체를 확인하여 보안 실적이 좋은지 확인해야 합니다. 변조도 조심하세요. 
• 안전한 빌드 파이프라인 및 암호화 사용: 자동화된 코드 검사 및 취약성 스캔을 사용하여 잠재적인 보안 위협을 식별합니다. 소프트웨어 패키지를 배포하기 전에 암호화하고 디지털 서명을 사용하여 진위 여부를 확인합니다. 
• 소프트웨어 종속성 모니터링: 사용하는 소프트웨어 종속성과 패키지를 추적하고, 종속성에 취약점이 있는지 정기적으로 확인하고, 권장 업데이트를 정기적으로 적용하여 취약점이 패치되었는지 확인하세요. 
• 팀 교육: 개발팀의 모든 구성원은 소프트웨어 공급망 전반의 위험을 인지하고 있어야 하며, 패키지 저장소에 있는 패키지가 인기 있고 잘 알려져 있다고 해서 안전하다는 것을 의미하지는 않는다는 것을 이해해야 합니다.

개발자가 결과물에 대한 큰 걱정 없이 단순히 패키지를 사용하여 작업 속도를 높일 수 있었던 예전과는 거리가 먼 광범위한 프로세스입니다. 

기초를 바로 잡으세요

TuxCare에서는 안전한 개발 프로세스를 옹호하고 있습니다. 보안 개발 프로세스를 옹호합니다. 개발 환경은 복잡하고 움직이는 부분이 많기 때문에 압박을 받는 개발자가 사이버 보안 특권을 항상 고려하는 것은 의심할 여지없이 어려운 일입니다.

그렇기 때문에 위협 행위자가 양심적인 개발자조차도 우회하는 방법을 찾는 것은 놀라운 일이 아닙니다. 하지만 때때로 개발팀은 신뢰할 수 없는 코드 소스로 작업하거나 오래된 언어 버전에 의존하는 등 보안의 문을 활짝 열어두는 경우가 있습니다.

TuxCare는 Lifecycle 연장 지원을 통해 오래된 Python에 대해 도움을 줄 수 있지만, 나머지는 사용자와 개발팀이 알아서 해결해야 합니다. 최선의 방법은 위의 팁을 따르고 뉴스를 팔로우하세요 를 팔로우하여 주요 이벤트에 앞서 나가세요.

요약

기사 이름

W4SP 스틸러: Discord 멀웨어가 이미 파이썬 코드에 있을 수 있는 이유

설명

W4SP Stealer의 기원을 살펴보고, PyPI에 침투하여 어떻게 전 세계 파이썬 개발자에게 위협이 되는지 설명하겠습니다,

작성자

스테판 벤터

게시자 이름

TuxCare

게시자 로고