정품 VM웨어 v스피어와 상당히 유사한 악성코드 포함된 PyPI 패키지 발견

요약 : 보안 외신 SC미디어는 정품 VMware vSphere 커넥터 모듈과 매우 유사하게 설계된 ‘VMConnect’라는 악성 PyPI 패키지가 등장했다고 보도했다. 소나타입(Sonatype) 연구원들은 해당 악성 패키지를 ‘sonatype-2023-3387-237’로 명명해 할당했다. 이 악성 패키지는 정품 VMware 컨트롤러와 동일한 코드를 상당수 포함하고 있고, 이미 237번 다운로드된 것으로 나타났다. 그리고 이를 악용해 공격자들이 VMware vCenter의 중요성 및 상호 작용 방식을 알아낸 것도 확인됐다. 현재 이 패키지는 레지스트리 관리자에게 즉시 보고해 제거된 상태다.


배경 : 소나타입 연구원들은 악성 PyPI 패키지를 조사하는 가운데 ‘ethter(253 다운로드)’와 ‘quantiumbase(216 다운로드)’라는 두 가지 패키지를 발견했다. 모두 동일한 구조와 기술을 가지고 있으며, 문제의 패키지와 동일한 페이로드를 포함한 것으로 밝혀졌다. 단기간 내 다양한 이름과 대상을 가진 새로운 패키지들이 등장했고, 이를 ‘PaperPin’이라는 지속적인 캠페인으로 명명했다. 한편, 깃허브(GitHub)와 PyPI 버전의 위조 패키지에 기재된 사용자 ‘huski502’에게 연락했지만 아직 별도의 회신은 받지 못한 상태다.

말말말 : “공격자들은 오픈 소스 소프트웨어 취약점을 활용하는데, 이는 PyPI 같은 오픈 소스 개발 및 제공 체인의 자원 부족으로 비롯된 것입니다. 주로 리소스가 부족한 팀을 이용해 버려진 프로젝트를 인수하거나 위조나 악의적인 파이프라인을 제공하는 등 몇 가지 수법들을 활용합니다. 이를 보호하기 위해 조직은 시간과 돈을 들여서라도 문제에 대처해야 합니다.” -스콧 걸라흐-
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>