공격자들은 암호화폐 정보를 훔치고 민감한 데이터를 유출하고 개발자 시스템에서 자격 증명을 수집하도록 설계된 트로이 목마인 W4SP Stealer로 개발자 시스템을 감염시키기 위해 계속해서 가짜 Python 패키지를 만들고 기초적인 난독화 기술을 사용합니다.
이번 주 소프트웨어 공급망 회사인 Phylum이 발표한 권고에 따르면, 위협 행위자는 Python Package Index(PyPI)에서 인기 있는 소프트웨어 패키지의 복제본 29개를 생성하여 듣기 좋은 이름을 부여하거나 의도적으로 합법적인 패키지와 유사한 이름을 부여했습니다. 타이포스쿼팅(typosquatting)이라고 알려진 관행. 개발자가 악성 패키지를 다운로드하고 로드하는 경우 설정 스크립트는 여러 난독화된 단계를 통해 W4SP Stealer 트로이 목마도 설치합니다. 연구원들은 해당 패키지가 5,700건의 다운로드를 기록했다고 말했습니다.
W4SP Stealer는 암호화폐 지갑과 금융 계좌를 표적으로 삼지만, 현재 캠페인의 가장 중요한 목표는 개발자의 비밀을 밝히는 것으로 보인다고 Phylum의 공동 창립자이자 CTO인 Louis Lang은 말합니다.
“우리가 흔히 보던 이메일 피싱 캠페인과 다르지 않습니다. 이번에는 공격자가 개발자만을 표적으로 삼고 있다는 점입니다.”라고 그는 말합니다. “개발자가 가장 중요한 정보에 액세스하는 경우가 많다는 점을 고려하면 성공적인 공격은 조직에 치명적일 수 있습니다.”
알려지지 않은 행위자 또는 그룹에 의한 PyPI 공격은 소프트웨어 공급망을 표적으로 삼는 최신 위협에 불과합니다. PyPI 및 npm(Node Package Manager)과 같은 저장소 서비스를 통해 배포되는 오픈 소스 소프트웨어 구성 요소는 다음과 같은 인기 있는 공격 벡터입니다. 소프트웨어로 가져오는 종속성 수가 급격히 증가했습니다.. 공격자는 생태계를 이용하여 부주의한 개발자의 시스템에 악성 코드를 배포하려고 시도합니다. Ruby Gems 생태계에 대한 2020년 공격 그리고 공격 Docker Hub 이미지 생태계. 그리고 8월에는 Check Point Software Technologies의 보안 연구원들이 10개의 PyPI 패키지를 찾았습니다. 정보를 훔치는 악성 코드를 떨어뜨린 것입니다.
이 최신 캠페인에서 "이러한 패키지는 W4SP Stealer를 Python 개발자의 컴퓨터에 전달하려는 보다 정교한 시도입니다."라고 Phylum 연구원은 말했습니다. 그들의 분석에 명시된, 덧붙였습니다. "이것은 단호한 공격자의 전술을 끊임없이 변화시키는 지속적인 공격이므로 가까운 시일 내에 이와 같은 악성 코드가 더 많이 나타날 것으로 의심됩니다."
PyPI 공격은 "숫자 게임"입니다
이러한 공격은 개발자가 실수로 일반 패키지 이름을 잘못 입력하거나 소프트웨어 소스를 적절하게 조사하지 않고 새 패키지를 사용하는 경우를 이용합니다. "typesutil"이라는 악성 패키지 중 하나는 인기 있는 Python 패키지 "datetime2"에 몇 가지 수정을 가한 복사본입니다.
처음에 악성 소프트웨어를 가져온 모든 프로그램은 Python이 종속성을 로드할 때 설정 단계에서 악성 소프트웨어를 다운로드하는 명령을 실행합니다. 그러나 PyPI가 특정 검사를 구현했기 때문에 공격자는 공백을 사용하여 의심스러운 명령을 대부분의 코드 편집기에서 볼 수 있는 범위 밖으로 밀어내기 시작했습니다.
"공격자는 전술을 약간 변경하여 가져오기를 눈에 띄는 위치에 버리는 대신 Python에서 거의 사용하지 않는 세미콜론을 활용하여 악성 코드를 다른 합법적인 코드와 동일한 줄에 몰래 삽입하여 화면 밖에서 아주 멀리 배치했습니다."라고 Phylum은 말했습니다. 분석에서.
타이포스쿼팅은 거의 성공하지 못하는 낮은 충실도의 공격이지만 잠재적인 보상에 비해 공격자에게 드는 비용은 거의 없다고 Phylum의 Lang은 말합니다.
“공격자들이 매일 이러한 악성 패키지로 패키지 생태계를 오염시키는 것은 숫자 게임입니다.”라고 그는 말합니다. "불행한 현실은 이러한 악성 패키지 중 하나를 배포하는 데 드는 비용이 잠재적인 보상에 비해 극도로 낮다는 것입니다."
짜증나는 W4SP
공격의 최종 목표는 피해자의 시스템을 열거하고, 브라우저에 저장된 비밀번호를 탈취하고, 암호화폐 지갑을 대상으로 '은행', '비밀' 등의 키워드를 이용해 흥미로운 파일을 검색하는 '정보탈취 트로이목마 W4SP 스틸러'를 설치하는 것이다. ”라고 Lang은 말합니다.
그는 "암호화폐나 은행 정보를 훔쳐서 얻는 명백한 금전적 보상 외에도 공격자가 훔친 정보 중 일부를 사용하여 중요한 인프라나 추가 개발자 자격 증명에 대한 액세스 권한을 부여함으로써 공격을 강화할 수 있습니다"라고 말했습니다.
Phylum은 공격자를 식별하는 데 어느 정도 진전을 이루었으며 인프라를 사용하고 있는 회사에 보고서를 보냈습니다.
