보안 전문가들은 북한 정부 지원 해커들이 PyPI 패키지 리포지토리에서 악성 파이썬 패키지를 발견했다고 밝혔다. 이 패키지는 VMConnect라는 악성 공급망 공격 캠페인의 일환으로 보이며, 이로써 공급망 공격에 대한 우려가 다시 부각되고 있다고 전했다. 이 캠페인은 리버싱랩스와 소나타입에 의해 처음 공개되었다.
이번 VMConnect 캠페인은 인기 있는 오픈소스 파이썬 도구를 모방하는 악성 패키지를 사용했으며 개발자들을 혼동시키기 위해 타이포스쿼팅 기술을 사용해 신뢰성 있는 것처럼 위장하고 있다.
새롭게 발견된 '테이블라이터' 패키지는, 설치 후 즉시 악성 코드를 실행하지 않고 애플리케이션이 해당 패키지를 호출할 때까지 기다리는 방식으로 작동한다. 이는 보안 소프트웨어 탐지를 회피하는 전략이다.
탐지를 피하기 위해 토큰 기반 접근 방식을 사용하는 것은 올해 초에 공개된 npm 캠페인과 유사하다. 이 npm 캠페인은 북한 공격 조직과 연관돼 있으며 금전적 이득을 노린 사이버 공격으로 잘 알려져 있다. 암호화폐 기업 등을 표적으로 삼은 공격이었다.
npm 엔지니어링 캠페인과 2023년 6월 점프클라우드 해킹 사이에 중복되는 공격 증거가 발견됨으로써 북한과의 잠재적 연관성이 더욱 입증되었다고 전문가들은 말한다. 또한, 'py_QRcode'라는 이름의 파이썬 패키지는 VMConnect 패키지와 유사한 악성 기능을 포함하고 있는 것으로 밝혀졌다.
2023년 5월에 암호화폐 거래소 개발자를 대상으로 한 별도의 공격 체인에 'py_QRcode'가 연루된 적이 있는데, 이 공격 체인은 북한 공격그룹인 SnatchCrypto의 소행으로 추정된다고 보안전문가들은 말한다.
끝으로 PyPI 리포지토리에서 이러한 악성 파이썬 패키지가 발견된 것은 특정 정부 후원 사이버 공격의 위협이 지속적으로 발생하고 있어 경각심을 가져야 한다는 것. 그리고 특히 오픈소스 소프트웨어 개발 커뮤니티 내에서 경계를 강화하고 보안 조치를 취해야 할 필요성이 있다는 것이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★