개발자 노리는 북한의 해커들, PyPI에 새로운 악성 패키지 퍼트려

요약 : 보안 외신 해커뉴스에 의하면 북한 해커들이 새로운 악성 파이선 패키지를 PyPI 리포지터리에 뿌리고 있다고 한다. 파이선을 사용하는 개발자들의 컴퓨터와 개발 환경을 감염시키기 위한 것으로, 이번에 발견된 악성 패키지의 이름은 tablediter, request-plus, requestspro라고 한다. 이 패키지들이 피해자의 컴퓨터에 제대로 설치되면, 추가로 두 번째 악성 페이로드를 다운로드 받아 설치한다. 다만 이 두 번째 페이로드에 대해서는 아직까지 알려진 바가 없다.


배경 : 북한은 이번 달 초부터 파이선 리포지터리에 가짜 패키지를 전파하는 캠페인인 VM커넥트(VMConnect)를 진행해 왔었다. 8월 초에는 보안 업체 소나타입(Sonatype)이, 이번에는 리버싱랩스(ReversingLabs)가 발견했다. 인기 높은 리포지터리에서는 악성 패키지를 업로드하는 시도가 꾸준히 이어지고 있다. 이 때문에 무료 코드를 다운로드 받을 때 먼저 검사를 하는 것이 중요하다.

말말말 : “패키지 다운로드를 유도해 공격하게 될 경우 여러 보안 탐지 도구를 회피할 수 있다는 장점이 있습니다. 또한 해당 패키지를 사용해 만든 소프트웨어가 사실상 멀웨어가 되는 것이므로, 멀웨어를 대량으로 생산할 수 있다는 장점도 가지고 있습니다.” -리버싱랩스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>