[데이터넷] 오픈소스 저장소를 통해 악성 파이썬 패키지가 6개월간 유포해 온 정황이 발견됐다. 체크막스에 따르면 공격자들은 인기있는 패키지와 유사한 이름의 악성 패키지가 수천만건 다운로드 된 것으로 알려졌다. 가장 많이 다운로드 된 패키지는 ‘PYINSTALLER’와 유사한 이름을 가진 ‘PYSTALLERER’FH, 4000만건 이상 다운로드됐다. 가장 많이 다운로드 받은 국가는 미국(42%)이었으며, 다음이 중국(12%)였다.

이 패키지에는 유해한 페이로드를 전달하는데 사용된 setup.py 파일이 포함돼 있으며, 스테가노그래피 기법으로 악성 페이로드를 숨겼다. 악성 패키지는 감염된 시스템에 지속적으로 머무르면서 민감정보 유출과 금전적 이익을 위한 공격활동을 진행하는데 사용됐다.

체크막스가 분석한 이 악성 패키지는 암호화폐 자산과 금융데이터를 훔치기 위해 사용됐다. 패키지에 포함된 악성코드는 암호화폐 지갑의 로컬 상태 파일을 검색하고, 사용자 암호화폐에 접근할 수 있는 민감한 구성 데이터를 찾았다. 패키지지는 스테가노그래피 기법을 이용해 PNG 이미지에 실행코드를 숨겼으며, 작업 완료 후 이전에 다운로드한 이미지 파일을 삭제해 공격 흔적을 지웠다.

체크막스 보고서에서는 “보안을 강화하기 위해 오픈소스 패키지 설치 전에 조사해야 하며, 커뮤니티 기반 오버레이 브라우저 확장 등 공개 권고와 보안 평가 플랫폼을 활용해야 한다. 개발자는 데브옵스 파이프라인 위험을 줄일 수 있도록 노력해야 한다”고 강조했다.

김선애 기자 다른기사 보기