요약 : 보안 외신 핵리드에 의하면 PyPI 플랫폼에서 새로운 공급망 공격 시도가 적발됐다고 한다. 이 캠페인의 이름은 리바이벌하이잭(Revival Hijack)이라고 하며, PyPI의 패키지 삭제 관련 정책을 교묘하게 악용하는 게 핵심이라고 보안 업체 제이프로그(JFrog)는 분석하고 있다. 현재 2만 2천여 개의 패키지가 위험한 상황이라고 하며, 수만 명이 여기에 영향을 받을 수 있다고 보인다. 이 2만 2천여 개의 패키지는 최근 삭제된 것으로 알려진 패키지 중 일정 수준의 다운로드 횟수를 기록했던 것으로, 공격자들은 이 이름을 간편하게 선점할 수 있다고 한다.


배경 : PyPI에서 개발자가 자신의 패키지를 삭제하면, 그 패키지의 이름은 누구나 사용할 수 있는 것이 된다. 즉 유명 패키지가 삭제되기만 한다면, 누구라도 그 유명 패키지의 이름을 가져갈 수 있다는 뜻이다. 제이프로그가 이를 실험했을 때, PyPI 플랫폼에서는 아무런 경고도 나오지 않았다고 한다. 있던 패키지가 업데이트 된 것처럼 보였을 뿐이라고 한다. 의심하지 않는다면 누구나 악성 패키지를 받게 된다는 뜻이다.

말말말 : “PyPI 측에서 이와 관련된 정책을 검토하고 있습니다. 실제 어떤 변화가 있을지 모르겠지만 그 때까지는 다운로드 받는 패키지를 철저히 검사하는 과정을 도입해야 합니다.” -제이프로그-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>