포스팅 내용

국내외 보안동향

SSH와 GPG 키를 훔치는 악성 파이썬 라이브러리 2개 발견


Two malicious Python libraries were stealing SSH and GPG keys


파이썬 보안 팀이 PyPI (Python Package Index)에서 악성 파이썬 라이브러리 2개를 제거했습니다. 이 두 라이브러리는 감염된 개발자의 프로젝트에서 SSH와 GPG 키를 훔치고 있었던 것으로 드러났습니다.


이 두 라이브러리는 “python3-dateutil”과 “jeIlyfish”로 모두 동일한 개발자인 “olgired2017″이 제작했으며, 정식 앱과 유사한 이름을 사용했습니다.


python3-dateutil 라이브러리는 인기 높은 “dateutil” 라이브러리를 모방했으며 “jeIlyfish”(첫번째 L은 대문자 I로 사용)는 “jellyfish” 라이브러리를 모방했습니다.


독일 소프트웨어 개발자인 Lukas Martini는 12월 1일 이 두 라이브러리를 발견했습니다.

“python3-dateutil” 라이브러리는 11월 29일 생성되어 PyPI에 업로드 되었으며, “jeIlyfish” 라이브러리는 약 1년 전인 2018년 12월 11일 업로드 되었습니다.


전문가들은 Martini가 dateutil 개발자와 PyPI 보안 팀에 이 사실을 제보한 당일 두 라이브러리를 모두 제거했습니다.

jeIlyfish 라이브러리는 악성 코드를 포함하고 있었습니다. “python3-dateutil” 라이브러리는 악성코드를 포함하고 있지는 않았지만, jeIlyfish 라이브러리를 불러오고 있었습니다.


악성 라이브러리는 피해자의 컴퓨터에서 SSH 및 GPG 키를 추출하여 port 32258을 통해 68.183.212.246 IP주소로 보내려 시도했습니다.


2018년 12월 이후 이 두 악성 라이브러리를 사용했을 경우 SSH 및 GPG 키를 모두 변경할 것을 권장합니다.





출처:

https://securityaffairs.co/wordpress/94715/hacking/malicious-python-libraries.html

https://github.com/dateutil/dateutil/issues/984

티스토리 방명록 작성
name password homepage