상세 컨텐츠

본문 제목

SSH와 GPG 키를 훔치는 악성 파이썬 라이브러리 2개 발견

국내외 보안동향

by 알약(Alyac) 2019. 12. 5. 14:53

본문


Two malicious Python libraries were stealing SSH and GPG keys


파이썬 보안 팀이 PyPI (Python Package Index)에서 악성 파이썬 라이브러리 2개를 제거했습니다. 이 두 라이브러리는 감염된 개발자의 프로젝트에서 SSH와 GPG 키를 훔치고 있었던 것으로 드러났습니다.


이 두 라이브러리는 “python3-dateutil”과 “jeIlyfish”로 모두 동일한 개발자인 “olgired2017″이 제작했으며, 정식 앱과 유사한 이름을 사용했습니다.


python3-dateutil 라이브러리는 인기 높은 “dateutil” 라이브러리를 모방했으며 “jeIlyfish”(첫번째 L은 대문자 I로 사용)는 “jellyfish” 라이브러리를 모방했습니다.


독일 소프트웨어 개발자인 Lukas Martini는 12월 1일 이 두 라이브러리를 발견했습니다.

“python3-dateutil” 라이브러리는 11월 29일 생성되어 PyPI에 업로드 되었으며, “jeIlyfish” 라이브러리는 약 1년 전인 2018년 12월 11일 업로드 되었습니다.


전문가들은 Martini가 dateutil 개발자와 PyPI 보안 팀에 이 사실을 제보한 당일 두 라이브러리를 모두 제거했습니다.

jeIlyfish 라이브러리는 악성 코드를 포함하고 있었습니다. “python3-dateutil” 라이브러리는 악성코드를 포함하고 있지는 않았지만, jeIlyfish 라이브러리를 불러오고 있었습니다.


악성 라이브러리는 피해자의 컴퓨터에서 SSH 및 GPG 키를 추출하여 port 32258을 통해 68.183.212.246 IP주소로 보내려 시도했습니다.


2018년 12월 이후 이 두 악성 라이브러리를 사용했을 경우 SSH 및 GPG 키를 모두 변경할 것을 권장합니다.





출처:

https://securityaffairs.co/wordpress/94715/hacking/malicious-python-libraries.html

https://github.com/dateutil/dateutil/issues/984

태그

관련글 더보기

댓글 영역