SSH와 GPG 키를 훔치는 악성 파이썬 라이브러리 2개 발견

국내외 보안동향

by 알약(Alyac) 2019. 12. 5. 14:53

Two malicious Python libraries were stealing SSH and GPG keys

파이썬 보안 팀이 PyPI (Python Package Index)에서 악성 파이썬 라이브러리 2개를 제거했습니다. 이 두 라이브러리는 감염된 개발자의 프로젝트에서 SSH와 GPG 키를 훔치고 있었던 것으로 드러났습니다.

이 두 라이브러리는 “python3-dateutil”과 “jeIlyfish”로 모두 동일한 개발자인 “olgired2017″이 제작했으며, 정식 앱과 유사한 이름을 사용했습니다.

python3-dateutil 라이브러리는 인기 높은 “dateutil” 라이브러리를 모방했으며 “jeIlyfish”(첫번째 L은 대문자 I로 사용)는 “jellyfish” 라이브러리를 모방했습니다.

독일 소프트웨어 개발자인 Lukas Martini는 12월 1일 이 두 라이브러리를 발견했습니다.

“python3-dateutil” 라이브러리는 11월 29일 생성되어 PyPI에 업로드 되었으며, “jeIlyfish” 라이브러리는 약 1년 전인 2018년 12월 11일 업로드 되었습니다.

전문가들은 Martini가 dateutil 개발자와 PyPI 보안 팀에 이 사실을 제보한 당일 두 라이브러리를 모두 제거했습니다.

jeIlyfish 라이브러리는 악성 코드를 포함하고 있었습니다. “python3-dateutil” 라이브러리는 악성코드를 포함하고 있지는 않았지만, jeIlyfish 라이브러리를 불러오고 있었습니다.

악성 라이브러리는 피해자의 컴퓨터에서 SSH 및 GPG 키를 추출하여 port 32258을 통해 68.183.212.246 IP주소로 보내려 시도했습니다.

2018년 12월 이후 이 두 악성 라이브러리를 사용했을 경우 SSH 및 GPG 키를 모두 변경할 것을 권장합니다.

출처:

베트남과 연결된 Ocean Logus APT, BMW와 현대자동차 네트워크 공격해 (0)	2019.12.09
에너지 업계를 노리는 이란의 새로운 데이터 와이퍼 악성코드인 ZeroCleare 발견 (0)	2019.12.06
Avast와 AVG 브라우저 확장 프로그램, 크롬과 파이어폭스 사용자 스파잉 해 (0)	2019.12.04
패스워드를 탈취하고 랜섬웨어를 확산시키는 악성코드 발견 (0)	2019.12.03
Anubis의 코드를 차용한 새로운 Ginp 안드로이드 악성코드 변종 발견 (0)	2019.12.02

고정 헤더 영역