파이썬 패키지로 위장한 악성코드, 신용카드 정보 탈취 정황 포착 - 데일리시큐
파이썬 패키지로 위장한 악성코드, 신용카드 정보 탈취 정황 포착 - 데일리시큐
사이버보안 업계가 파이썬 오픈소스 생태계를 겨냥한 새로운 공급망 공격 정황을 포착했다. 최근 파이썬 패키지 저장소(PyPI)에서 민감한 정보를 탈취하고 도난된 신용카드 정보를 자동으로 테
www.dailysecu.com
- 악성 파이썬 패키지 발견
- PyPI에서 bitcoinlibdbfix, bitcoinlib-dev, disgrasya 등 3개의 악성 패키지 확인
- bitcoinlib를 위장하여 정상 라이브러리처럼 등록하고, 다수 개발자에게 다운로드 유도
- 총 다운로드 횟수는 3만 5천 회 이상으로 피해 확산 우려
- bitcoinlib 위장 패키지 분석
- 정상 명령어
clw cli를 악성 스크립트로 덮어쓰기하여 로컬 데이터 유출 시도 - GitHub 이슈 참여로 정상 프로젝트처럼 위장하여 신뢰 확보 시도
- 다운로드 수는 각각 bitcoinlibdbfix 1,101회, bitcoinlib-dev 735회
- 정상 명령어
- disgrasya 패키지 분석
- 자동화된 카딩(Carding) 기능을 포함한 악성 스크립트
- WooCommerce 기반 온라인 쇼핑몰을 타깃으로 도난 카드 자동 테스트
- 제품 검색, 장바구니, 결제창 이동, 카드 입력 등을 모두 자동화
- 탈취 정보는 railgunmisaka[.]com 서버로 전송되도록 설계
- 삭제 전까지 34,860회 이상 다운로드
- 공급망 공격의 위험성
- 오픈소스 생태계를 통한 소프트웨어 공급망 침투 방식 고도화
- 개발자가 검증 없이 설치 시, 내부 시스템 전체가 악성코드에 노출
- 공격자는 신뢰받는 저장소(PyPI)를 활용해 탐지 우회 및 배포 성공률 증가
- 보안 권고
- 패키지 설치 전, 공식 문서, 서명, 메타데이터 등으로 진위 여부 검증
- 코드 리뷰 및 보안 분석 자동화 도구 도입 필요
- PyPI 및 기타 저장소에 대한 모니터링 및 지속적 감사 체계 강화
- 조직 내 개발환경에 대해 정책 기반의 패키지 설치 제어 시스템 도입
- 결론
- 오픈소스 공급망은 이제 정교한 사이버 범죄자들의 주요 표적
- 개발자와 보안 담당자는 패키지 신뢰성과 무결성 확보를 위한 절차 강화 필요
- 보안 솔루션, 패키지 관리 정책, 사용자 인식 교육의 삼중 방어 전략이 요구됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 51초 만에 내부 시스템 장악…초 단위 대응 요구하는 사이버 공격 진화 (0) | 2025.05.13 |
|---|---|
| 깃허브, 무료 고급 보안 스캐닝 기능으로 개발자 민감 정보 보호 강화 (0) | 2025.05.13 |
| 큐싱(Quishing) 공격의 진화와 산업별 위협 분석 (1) | 2025.05.13 |
| 키움증권 전산장애 사태와 금융감독원 대응 분석 (0) | 2025.05.13 |
| SnowDog RAT 악성코드의 등장과 기업 보안 위협 고조 (0) | 2025.05.13 |