링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

IT 전문가를 표적으로 하는 수천 건의 다운로드가 포함된 악성 PyPI 패키지 27개 발견

알려지지 않은 위협 행위자가 지속성을 확보하고, 민감한 데이터를 훔치고, 금전적 이익을 위해 암호화폐 지갑에 액세스할 수 있는 악성 코드를 전달하려는 목적으로 거의 6개월 동안 Python Package Index(PyPI) 저장소에 타이포스쿼트 패키지를 게시하는 것이 관찰되었습니다.

인기 있는 합법적 Python 라이브러리로 가장한 27개 패키지는 수천 건의 다운로드를 기록했다고 Checkmarx는 새로운 보고서에서 밝혔습니다. 다운로드의 대부분은 미국, 중국, 프랑스, ​​홍콩, 독일, 러시아, 아일랜드, 싱가포르, 영국 및 일본에서 시작되었습니다.

소프트웨어 공급망 보안 회사는 “이 공격의 특징은 스테가노그래피를 활용해 무해해 보이는 이미지 파일 내에 악성 페이로드를 숨긴다는 것”이라며 “이로 인해 공격의 은밀성이 높아졌다”고 말했습니다.

패키지 중 일부는 pyefflorer, pyminor, pyowler, pystallerer, pystob 및 pywool이며, 마지막 패키지는 2023년 5월 13일에 심었습니다.

이러한 패키지의 공통 분모는 “Runtime.py”라는 파일을 다운로드하고 실행하기 위해 Visual Basic 스크립트(VBScript)를 배포하는 다른 악성 패키지(예: pystob 및 pywool)에 대한 참조를 포함하기 위해 setup.py 스크립트를 사용한다는 것입니다. exe”를 실행하여 호스트에서 지속성을 확보합니다.

사이버 보안

바이너리에는 웹 브라우저, 암호화폐 지갑 및 기타 애플리케이션에서 정보를 수집할 수 있는 컴파일된 파일이 포함되어 있습니다.

Checkmarx가 관찰한 대체 공격 체인은 PNG 이미지(“uwu.png”) 내에 실행 코드를 숨긴 것으로 알려졌습니다. 이 코드는 이후 디코딩 및 실행되어 영향을 받는 공용 IP 주소와 UUID(Universally Unique Identifier)를 추출합니다. 체계.

특히 Pystob과 Pywool은 API 관리 도구로 가장하여 게시되었지만 데이터를 Discord 웹훅으로 추출하고 VBS 파일을 Windows 시작 폴더에 배치하여 지속성을 유지하려고 시도했습니다.

Checkmarx는 “이 캠페인은 오늘날의 디지털 환경, 특히 협업과 공개 코드 교환이 기본이 되는 영역에서 항상 존재하는 위협을 다시 한 번 상기시켜 줍니다.”라고 말했습니다.

이번 개발은 ReversingLabs가 “우크라이나, 이스라엘 및 가자 지구의 분쟁과 관련된 평화 메시지를 방송하는 스크립트를 숨기는” 항의웨어 npm 패키지의 새로운 물결을 발견하면서 이루어졌습니다.

IT 전문가를 표적으로 하는 수천 건의 다운로드가 포함된 악성 PyPI 패키지 27개 발견

@snyk/sweater-comb(버전 2.1.1)라는 패키지 중 하나는 호스트의 지리적 위치를 확인하고, 그것이 러시아인 것으로 확인되면 다음 모듈을 통해 우크라이나의 “부당한 침략”을 비판하는 메시지를 표시합니다. “es5-ext.”

또 다른 패키지인 e2eakarev는 package.json 파일에 “무료 팔레스타인 항의 패키지”라는 설명이 있으며 유사한 검사를 수행하여 IP 주소가 이스라엘로 확인되는지 확인하고, 그렇다면 “무해한 항의 메시지”로 설명된 내용을 기록합니다. 이는 개발자들이 팔레스타인 투쟁에 대한 인식을 높이도록 촉구합니다.

오픈 소스 생태계에 침투하는 것은 위협 행위자뿐만이 아닙니다. 이번 주 초 GitGuardian은 2,922개의 PyPI 프로젝트에서 총 3,938개의 고유 비밀이 존재한다고 밝혔으며, 그 중 768개의 고유 비밀이 유효한 것으로 밝혀졌습니다.

여기에는 AWS 키, Azure Active Directory API 키, GitHub OAuth 앱 키, Dropbox 키, SSH 키 및 MongoDB, MySQL, PostgreSQL, Coinbase 및 Twilio와 관련된 자격 증명이 포함됩니다.

사이버 보안

더욱이 이러한 비밀 중 다수는 여러 릴리스 버전에 걸쳐 두 번 이상 유출되어 총 발생 횟수가 56,866건이 되었습니다.

GitGuardian의 Tom Forbes는 “오픈 소스 패키지에서 비밀을 노출하는 것은 개발자와 사용자 모두에게 상당한 위험을 안겨줍니다.”라고 말했습니다. “공격자는 이 정보를 악용하여 무단 액세스 권한을 얻거나 패키지 관리자를 사칭하거나 사회 공학 전술을 통해 사용자를 조작할 수 있습니다.”

소프트웨어 공급망을 표적으로 하는 지속적인 공격으로 인해 미국 정부는 소프트웨어 개발자와 공급업체가 소프트웨어 보안에 대한 인식을 유지하고 제공하도록 이번 달에 새로운 지침을 발표했습니다.

CISA(사이버보안 및 인프라 보안국), NSA(국가안보국) 및 국장실은 “최근 세간의 이목을 끄는 소프트웨어 공급망 사고를 고려하여 인수 조직이 구매 결정에 공급망 위험 평가를 할당하는 것이 좋습니다”라고 밝혔습니다. 국가정보국(ODNI)이 밝혔다.

“소프트웨어 개발자와 공급업체는 소프트웨어 개발 프로세스를 개선하고 직원과 주주뿐만 아니라 사용자에게 해를 끼칠 위험을 줄여야 합니다.”

이 기사가 흥미로웠나요? 우리를 따라 오세요 트위터 그리고 LinkedIn에서 우리가 게시하는 더 많은 독점 콘텐츠를 읽어보세요.

Leave A Reply

Your email address will not be published.