북한 해커들이 오픈소스 저장소를 표적으로 삼아 공급망을 공격하려는 시도가 확인됐다.
1일(현지시각) 해커뉴스 등 외신에 따르면 사이버보안업체 리버싱랩스는 파이썬 패키지 인덱스(PyPI)에서 악성코드가 숨어 있는 파이썬 패키지를 발견했다고 밝혔다.
VMConnect라는 공격은 7월 말에 처음 확인되었습니다. 추적 결과, vConnector, Table Editor, Request Plus 등 다양한 분야에서 사용되는 오픈소스 도구로 위장한 악성 패키지 24개가 식별되었습니다.
리버싱랩스는 악성 패키지와 페이로드 복호화 데이터를 분석한 결과, 북한 정부 산하 해킹그룹인 라자루스그룹의 분파인 ‘라버린스 천리마’의 이전 캠페인과의 링크가 확인됐다고 밝혔다.
이번 공격에 사용된 악성 패키지는 유명 오픈소스 패키지와 매우 유사한 이름과 설명을 이용하는 이른바 타이포스쿼팅(typosquatting)을 적용했다. 바쁜 개발자가 패키지를 검색하고 설치할 때, 앱 간의 차이점을 인지하지 못한 채 악성 패키지를 설치하는 것을 목표로 하는 공격 방법입니다.
DAST(Dynamic Application Security Testing) 도구에 의한 탐지를 피하기 위해 이러한 앱은 실제 패키지 설명을 재사용하여 악성 코드가 즉시 실행되지 않고 특정 신호가 호출될 때만 실행된다는 점을 사용자에게 확신시키도록 개발되었습니다.
관련 기사
또한, 같은 작성자가 같은 날 생성한 GitHub 소스 코드 저장소에 대한 링크를 추가하여 사용자 신뢰도를 높였습니다.
Reversing Labs의 리버스 엔지니어인 Carlo Zenki는 “PyPI 플랫폼과 같은 패키지 플랫폼은 매달 수만 건의 문의를 받아 사이버 공격의 다양한 변형이 확인됩니다.”라고 말했습니다. “오픈 소스 저장소의 위협에 대처하는 것은 자동화된 소스 코드 검토와 같은 표준 관행의 문제입니다. 이는 혼자서는 달성할 수 없는 만큼 지속적인 AI 학습을 바탕으로 보안성을 평가하고 악성 기능의 징후를 찾아내는 것이 필요하다”고 조언했다.
