ESET 연구에서는 공식 Python(프로그래밍 언어) 패키지 저장소인 PyPI를 통해 배포되는 악성 Python 프로젝트 클러스터를 발견했습니다. 이 위협은 Windows와 Linux 시스템을 모두 대상으로 하며 일반적으로 사이버 스파이 기능을 갖춘 맞춤형 백도어를 제공합니다. 원격 명령 실행 및 파일 추출이 가능하며 때로는 스크린샷을 찍는 기능도 포함됩니다. 경우에 따라 최종 페이로드는 개인 데이터와 자격 증명을 훔치는 악명 높은 W4SP Stealer의 변종이거나 암호화폐를 훔치는 간단한 클립보드 모니터이거나 둘 다를 훔치는 경우도 있습니다. ESET은 116개 프로젝트에서 악성코드가 포함된 53개 파일(소스 배포판 및 휠)을 발견했습니다. 지난 10,000년 동안 피해자들은 이러한 파일을 2023회 이상 다운로드했습니다. 80년 XNUMX월부터 다운로드 속도는 하루 XNUMX건 정도였습니다.
PyPI는 코드 공유 및 다운로드로 Python 프로그래머들 사이에서 인기가 높습니다. 누구나 리포지토리에 기여할 수 있으므로 때로는 합법적이고 널리 사용되는 코드 라이브러리인 것처럼 가장하는 악성 코드가 나타날 수 있습니다. “일부 악성 패키지 이름은 다른 합법적 패키지와 유사해 보이지만 잠재적인 피해자가 이를 설치하는 주요 방법은 타이포스쿼팅이 아니라 '흥미로운' 패키지를 설치하기 위해 pip를 실행하는 과정을 거치는 소셜 엔지니어링이라고 생각합니다. 어떤 이유에서든” 악성 패키지를 발견하고 분석한 ESET 연구원 Marc-Étienne Léveillé는 말합니다.
이 연구 결과가 발표될 당시 대부분의 패키지는 이미 PyPI에 의해 중단되었습니다. ESET은 남은 항목에 대해 조치를 취하기 위해 PyPI와 통신했습니다. 현재 알려진 모든 악성 패키지는 오프라인 상태입니다.
ESET은 이 캠페인의 운영자가 세 가지 기술을 사용하여 악성 코드를 Python 패키지에 묶는 것을 관찰했습니다. 첫 번째 기술은 패키지 내부에 약간 난독화된 코드가 포함된 "테스트" 모듈을 배치하는 것입니다. 두 번째 기술은 setup.py 파일에 PowerShell 코드를 포함시키는 것입니다. 이 코드는 일반적으로 Python 프로젝트 설치를 돕기 위해 pip와 같은 패키지 관리자에 의해 자동으로 실행됩니다. 세 번째 기술에서는 운영자가 패키지에 합법적인 코드를 포함시키려는 노력을 하지 않아 약간 난독화된 형태로 악성 코드만 존재하게 됩니다.
일반적으로 최종 페이로드는 원격 명령 실행, 파일 유출, 때로는 스크린샷 캡처 기능을 갖춘 맞춤형 백도어입니다. Windows에서는 백도어가 Python으로 구현됩니다. Linux에서는 백도어가 Go 프로그래밍 언어로 구현됩니다. 어떤 경우에는 백도어 대신 악명 높은 W4SP Stealer의 변종을 사용하거나 간단한 클립보드 모니터를 사용하여 암호화폐를 훔치거나 두 가지 모두를 수행합니다. 클립보드 모니터는 비트코인, 이더리움, 모네로, 라이트코인 암호화폐를 대상으로 합니다.
“Python 개발자는 다운로드한 코드를 시스템에 설치하기 전에 검사해야 합니다. 우리는 이러한 PyPI 남용이 계속될 것으로 예상하며 공개 소프트웨어 저장소에서 코드를 설치할 때 주의를 기울일 것을 권고합니다.”라고 Léveillé는 결론지었습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://mystartupworld.com/eset-reveals-malicious-python-targeting-windows-and-linux-systems/
