요약 : 보안 외신 블리핑컴퓨터에 의하면 파이선 생태계의 주력 코드 리포지터리인 PyPI에 새로운 백도어가 나타났다고 한다. 누군가 악성 PyPI 패키지를 업로드해서 개발자들이 이를 가져가 설치하도록 유도한 건데, 여기에 속는다면 시스템에 슬리버(Sliver)라는 모의 해킹 도구가 설치된다고 한다. 이 캠페인의 표적인 맥OS 기반 시스템들이라고 하며, 악성 코드는 스테가노그래피 기법을 통해 PNG 파일 내에 주입되어 있다고 한다. 현재는 PyPI 관리자 측에서 문제의 패키지를 삭제한 상황이다. 정확한 피해 규모는 집계되지 않았다.


배경 : 모의 해킹 도구는, 말 그대로 모의 해킹을 위해 개발된 도구이지만 점점 해커들이 더 애용하는 추세다. 코발트스트라이크(Cobalt Strike)가 대표적인 사례이고, 그 뒤를 이어 슬리버가 주목을 받고 있다. 코드 리포지터리들은 최근 개발자들을 공략하기에 나선 해커들 사이에서 가장 주목도가 높은 표적으로 자리를 잡았다. 다양한 코드 리포지터리들이 고루 공격을 받으며, 컨테이너 이미지 공유 사이트들도 비슷한 목적으로 폭격을 맞고 있다.

말말말 : “이번 캠페인은 고도화 된 표적 공격의 일환이었을 것으로 의심됩니다. 왜냐하면 악성 스크립트의 기능 중에 UUID를 확인하는 것이 있었거든요. 공격자들이 표적을 조심스럽게 선택한 것으로 보입니다.” -파일럼(Phylum)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>