요약 : 보안 외신 해커뉴스에 의하면 파이선 생태계에서 가장 큰 규모의 코드 공유 공간인 PyPI에서 악성 라이브러리가 발견됐다고 한다. 이름은 아이옥파(aiocpa)로, 최근 업데이트를 통해 악성 기능이 추가됐다. 이 악성 기능은 피해자로부터 비밀 키를 추출해 텔레그램을 통해 다른 곳으로 옮기는 것이다. 이 라이브러리는 PyPI에 의해 제거됐지만, 그러기 전까지 1만 2천 회 이상 다운로드 된 것으로 집계됐다. 아이옥파 라이브러리의 원 개발자가 이번 악성 업데이트에 직접적으로 연루되어 있는지는 아직 불투명하다. 또한 이 상황에 누가 어떤 피해를 입고 어떤 이득을 봤는지도 아직은 확실하지 않다.


배경 : 코드 리포지터리에 악성 라이브러리를 심는 공격 기법은 최근 몇 년 동안 크게 유행하고 있다. 개발자들이 악성 라이브러리를 가지고 프로그램을 개발하면, 그 프로그램은 저절로 악성 프로그램이 되기 때문이다. 즉 공급망 공격이 간단히 성립되는 건데, 공격자들로서는 대단히 효율적인 공격 기법이 된다. 현재까지는 깃허브와 PyPI가 가장 많이 겨냥된다.

말말말 : “처음에는 정상적인 코드를 업로드 해서 공유가 되도록 하다가, 나중에 업데이트를 통해 악성 기능을 추가하는 수법이 요즘은 자리를 잡아가고 있습니다. 이 때 원 개발자가 그렇게 하는 경우도 있지만, 원 개발자의 계정을 탈취하여 악성 코드를 주입하는 경우도 있습니다.” -파일럼(Phylum)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>