최근 포티넷 포티가드랩의 사이버 보안 연구원들이 PyPI(파이선 패키지 인덱스) 오픈소스 저장소에서 리눅스 기기에 암호화폐 채굴기를 배포하는 기능을 갖고 있는 신종 악성 패키지 3개를 발견했다.
모듈세븐, 드리프트미, 캣미라(modularseven, driftme, catme)는 이름의 이 악성 패키지는 지난 한 달 동안 총 431건의 다운로드를 유도한 후 즉시 제거되었다.
조사 결과, 이 패키지가 처음 사용되었을 때 리눅스 디바이스에 코인마이너 실행 파일을 배포하는 것으로 밝혀졌다. 악성코드는 원격 서버에서 첫 번째 단계를 디코딩하고 검색하는 init.py 파일 내에 숨겨져 있다. 이 초기 단계에는 채굴 활동을 위한 구성 파일을 가져오는 셸 스크립트("unmi.sh")와 깃허브에서 호스팅되는 코인마이너 파일을 포함한다.
검색이 완료되면 nohup 명령을 사용해 백그라운드에서 ELF 바이너리 파일을 실행해 사용자가 세션을 종료한 후에도 프로세스가 지속되도록 한다. 특히, 이 수법은 컬처스트릭(culturestreak)이라는 패키지를 사용해 암호화폐 채굴기를 배포한 이전 캠페인과 유사하다.
이 멀웨어는 은밀성과 지속성을 강화하기 위해 ~/.bashrc 파일에 악성 명령을 삽입해 사용자 디바이스에서 다시 활성화되도록 한다. 이러한 전략적 움직임은 은밀한 작전을 장기화해 공격자가 손상된 디바이스를 익스플로잇할 수 있는 기간을 연장하는 것을 목표로 한다.
또한 이 패키지는 셸 스크립트 내에 악의적인 의도를 숨기는 추가 단계를 보여준다. 이 추가 단계는 보안 소프트웨어의 탐지를 회피하는 데 기여해 익스플로잇 과정을 더 길고 어렵게 만든다.
■사용자와 개발자를 위한 권고 사항
개발자는 정기적으로 종속성을 검토하고 업데이트해 프로젝트에 사용되는 패키지가 안전하고 최신 상태인지 확인해야 한다.
또 새 패키지를 통합하기 전에 해당 패키지의 인기도와 이력을 고려해야 한다. 사용자 수가 많고 긍정적인 리뷰가 있는 패키지는 더 신뢰할 수 있다.
그리고 보안 검사 도구를 사용해 코드와 종속성을 분석해 잠재적인 취약점을 파악하는 것이 중요하다. 이를 통해 악성 패키지의 포함 여부를 탐지하고 방지할 수 있다.
최근의 위협과 공격 벡터에 대한 지식은 개발자와 사용자가 사전 조치를 취할 수 있도록 하기 때문에 항상 관련 정보를 빠르게 수집하는 것이 중요하다.
특히 잠재적인 위협을 탐지하고 완화하기 위해 바이러스 백신과 침입 탐지 시스템을 포함한 엔드포인트 보안 조치를 강화해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★