개발자 노리는 공급망 공격, 끊어질 기미가 보이지 않는다

요약 : 보안 외신 해커뉴스에 의하면 파이선 생태계의 리포지터리인 PyPI에서 또 다시 악성 패키지가 발견됐다고 한다. 이번 패키지는 보안 업체 센티넬원(SentinelOne)의 SDK로 위장하고 있었으며, 데이터를 훔쳐내는 기능을 가지고 있었다. 이 때문에 이 공격 캠페인에는 센티넬스닉(SentinelSneak)이라는 이름이 붙었다. 악성 패키지는 12월 8일부터 11일 사이에 업로드 되었으며, PyPI 측에서 이를 삭제하자 비슷한 버전 스무 개 이상이 이틀 정도 되는 기간 안에 계속해서 올라왔다고 한다.


배경 : 센티넬원의 SDK라고 착각하여 이 패키지를 다운로드 받아 설치할 경우 접근 크리덴셜, SSH 키, 설정 데이터 등 개발 환경에서 민감한 정보가 유출된다. 악성 패키지의 이름은 SentinelOne, SentinelOne-sdk, SentinelOneSDK 등이었다. PyPI 생태계만이 아니라 각종 리포지터리에 비슷한 공격 시도가 발견된다.

말말말 : “아직까지 이런 시도로 인해 대형 사고가 발생하지는 않았지만 개발자들을 노리는 공격이 쉬지 않고 일어나고 있다는 것은 알아두어야 할 필요가 있습니다.” -리버싱랩스(ReversingLabs)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>