Python 패키지의 공개 저장소인 Python Package Index(PyPI)에서 악성 코드가 포함된 패키지가 발견되어 사용 시 주의가 필요합니다.
3일(현지시각) 미국 ZDNet 등 외신에 따르면 사이버보안업체 EST리서치는 PyPI 조사 결과 악성 패키지를 발견했다고 밝혔다.
PyPI는 널리 사용되는 프로그래밍 언어인 Python의 공식 저장소로, 개발자가 만든 소프트웨어(SW)를 저장하고 효율적인 배포를 위해 사용됩니다. 현재 504,348개의 프로젝트가 진행 중이고, 5,232,687개의 패키지가 출시되고 있습니다. 스토리지를 사용하는 사용자 수는 77만명에 달합니다.
PyPI는 SW를 많은 사용자에게 배포하기 위해 개발되었기 때문에, 악용할 경우 다수의 개발자 PC나 기업 시스템이 악성코드에 감염될 위험이 있습니다. 특히 제품이나 서비스를 만드는 개발자를 대상으로 하기 때문에 피해는 더욱 확대될 가능성이 높다.
지난 1년 동안 조사한 결과, PyPI에 등록된 53개 프로젝트에서 총 116개의 악성 패키지가 발견됐다. 해당 악성 패키지는 하루에 약 80회, 총 1만회 이상 다운로드된 것으로 확인됐다.
패키지에 포함된 악성 코드를 조사한 결과, Windows와 Linux를 모두 대상으로 하는 사이버 스파이 기능을 갖춘 맞춤형 백도어인 것으로 나타났습니다. Windows 대상 패키지의 백도어는 Python으로 구현되었으며, Linux 백도어는 GO를 사용했습니다.
악성코드는 원격 명령을 실행하고 파일을 추출할 수 있으며 스크린샷을 찍는 기능도 포함하고 있습니다. 일부 악성코드는 개인 데이터와 자격 증명을 훔치는 W4SP 스틸러의 변종은 물론 암호화폐를 훔치는 클립보드 모니터로도 확인됐다. Clipboard Monitor는 주로 Bitcoin, Ethereum, Monero 및 Litecoin을 대상으로 합니다.
관련 기사
ESET은 식별된 악성 패키지가 이제 PyPI에 의해 서비스가 중단되었다고 밝혔습니다. 하지만 파이썬은 가장 많이 사용되는 프로그래밍 언어 중 하나이기 때문에 개발 중인 코드에 관련 패키지가 포함되어 있는지 확인할 필요가 있다고 지적했다.
EST Research의 연구원인 Marc-Étienne Levailet는 “PyPI를 사용한 이러한 사이버 공격이 계속될 것으로 예상합니다.”라고 말했습니다. “개발자는 시스템에 설치하기 전에 공개 SW 저장소에서 다운로드한 코드를 확인하여 주의를 기울여야 합니다.” 그는 “최선을 다하길 바란다”고 말했다.
