PyPI 악성 패키지를 통한 민감정보 유출 및 신용카드 테스트 공격

Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data

 

• 악성 패키지 개요
  • Python 공식 저장소(PyPI)에 업로드된 악성 패키지 3종이 민감 정보 탈취 및 신용카드 자동화 테스트(carding)에 활용된 사례가 확인됨
  • 해당 패키지는 정상 라이브러리를 위장하거나, 대놓고 악성 행위를 수행하는 코드가 포함되어 있었음
  • 주요 패키지 및 다운로드 횟수
    • bitcoinlibdbfix: 1,101회
    • bitcoinlib-dev: 735회
    • disgraysa: 37,217회
• 공격 기법 및 행위
  • bitcoinlibdbfix, bitcoinlib-dev
    • 정상 파이썬 비트코인 라이브러리(bitcoinlib)의 문제를 해결하는 것처럼 위장
    • 사용자가 clw cli 명령어를 실행할 경우 악성 코드가 민감한 DB 파일을 외부로 전송
    • 공격자는 깃허브 이슈 토론에 참여해 사용자를 속이려 시도
  • disgraysa
    • 워드프레스 기반 전자상거래 플랫폼 WooCommerce에서 CyberSource 결제 게이트웨이를 사용하는 사이트를 표적으로 설정
    • 신용카드 정보 자동 입력 및 결제 시도를 통해 도난 카드의 유효성을 테스트하는 카드 자동화(carding) 스크립트 포함
    • 상품 검색, 장바구니 추가, 결제 폼 입력 등 실제 사용자의 결제 프로세스를 모방
    • railgunmisaka[.]com 서버로 카드번호, 유효기간, CVV 등 정보 전송
• 주요 보안 위협 요소
  • 공급망 공격
    • PyPI 등 신뢰된 저장소를 통한 악성코드 배포로 개발자 및 조직 시스템 전체가 위협에 노출될 수 있음
  • 자동화된 트랜잭션 남용(Automated Transaction Abuse)
    • 소액결제 기반 테스트로 탐지를 회피하며 유효한 도난 카드 선별
    • 스크립트 실행 시 사용자의 정상 행위처럼 보이도록 설계되어 탐지 우회
• 보안 권고
  • 개발자 측
    • 파이썬 패키지 설치 전 패키지 정체성과 출처 검증 필수
    • 의심스러운 패키지명 또는 깃허브와 연동된 활동 내역 확인 필요
  • 전자상거래 플랫폼 운영자 측
    • $5 이하의 소액 결제 차단 또는 CAPTCHA 적용
    • 체크아웃 및 결제 엔드포인트에 속도 제한(rate limit) 적용
    • 봇 탐지 및 차단 기능(Bot Protection) 활성화
    • 결제 API 사용 시 비정상적 요청 패턴 탐지 및 경고 시스템 도입
• 결론
  • 공급망을 노리는 악성 파이썬 패키지가 실제 공격에 활용되고 있으며, 특히 disgraysa와 같은 카드 자동화 악성코드는 탐지 회피 기술까지 갖추고 있어 위협 수준이 높음
  • 오픈소스 생태계 내 개발자 및 플랫폼 운영자는 보안 검증 절차를 강화하고, 이상 행위에 대한 실시간 모니터링 체계를 수립해야 함