[보안뉴스 여이레 기자] 오픈소스 개발의 기반이 되는 소프트웨어 패키지에 악성 코드를 심어 멀웨어 확산을 노리는 공급망 공격이 빠르게 늘고 있다.
카스퍼스키는 2024년 말 기준 오픈소스 프로젝트에서 총 1만4000개의 악성 패키지를 발견했다고 17일 밝혔다. 전년 대비 50% 늘어난 수치다.
이 회사는 2024년 한해 동안 4200만개 오픈소프 패키지를 점검해 취약점을 조사했다.
오픈소스는 누구나 소스 코드를 검사, 수정, 개선할 수 있는 소프트웨어다. 널리 사용되는 오픈소스 패키지엔 GoMod, Maven, NuGet, npm, PyPI 등이 있다. 개발자들이 사전 구축된 코드 라이브러리를 쉽게 검색하고 설치하며 관리할 수 있도록 도와준다. 이를 통해 기존 코드를 재사용해 소프트웨어를 간편하게 개발할 수 있다.
공격자들은 널리 쓰이는 패키지들의 인기를 악용하고 있다. 3월 북한과 연계된 라자루스 그룹이 여러 개의 악성 npm 패키지를 배포한 사실이 보고됐다. 이들은 여러 차례 다운로드된 후에야 삭제됐다. 이 패키지엔 자격 증명, 암호화폐 지갑을 탈취하고 백도어를 배포하는 악성코드가 포함되어 있었다. 윈도우와 맥OS, 리눅스 시스템을 모두 겨냥했다. 깃허브 저장소를 활용해 신뢰성을 높이는 수법을 썼다.
카스퍼스키 글로벌 연구 분석팀(GReAT)도 이 공격과 관련된 다른 npm 패키지를 발견했다. 이러한 악성 npm 패키지는 웹 개발, 암호화폐 플랫폼, 기업용 소프트웨어에 통합돼 광범위한 데이터 유출 및 재정 손실 위험을 초래할 수 있다.
GReAT 팀은 작년 chatgpt-python이나 chatgpt-wrapper 같은 악성 파이썬 패키지가 PyPI에 업로드된 것을 발견하기도 했다. 이 패키지들은 챗GPT API 와 상호작용하는 정상적 도구로 위장했으나, 자격 증명 탈취 및 백도어 배포를 위해 설계됐다. 공격자들은 AI 개발 인기를 악용, 개발자들을 속이여 악성 패키지를 다운로드하게 만들었다.
이들 패키지는 AI 개발, 챗봇 통합, 데이터 분석 플랫폼 등에 사용됐을 수 있으며, 민감한 AI 워크플로우 및 사용자 데이터를 위협한다.
드미트리 갈로프 카스퍼스키 GReAT 리서치 센터장은 ”오픈소스 소프트웨어는 현대 기술 솔루션의 근간이지만, 그 개방성이 이제는 무기로 사용되고 있다”며 “2024년 말 기준 악성 패키지 수가 50% 증가했다는 사실은 공격자들이 인기 있는 패키지에 정교한 백도어 및 정보 탈취 도구를 적극 삽입하고 있음을 보여준다”고 말했다.
이효은 카스퍼스키 한국지사장은 “디지털 전환의 글로벌 리더인 대한민국은 오픈소스 공급망 위협에 특히 취약하다”며 “기업들은 개발부터 배포까지 실시간 코드 스캐닝과 엔드 투 엔드 검증을 포함한 선제적 방어 시스템을 구축해야 한다”고 밝혔다.
[여이레 기자(boan@boannews.com)]
카스퍼스키는 2024년 말 기준 오픈소스 프로젝트에서 총 1만4000개의 악성 패키지를 발견했다고 17일 밝혔다. 전년 대비 50% 늘어난 수치다.
이 회사는 2024년 한해 동안 4200만개 오픈소프 패키지를 점검해 취약점을 조사했다.
오픈소스는 누구나 소스 코드를 검사, 수정, 개선할 수 있는 소프트웨어다. 널리 사용되는 오픈소스 패키지엔 GoMod, Maven, NuGet, npm, PyPI 등이 있다. 개발자들이 사전 구축된 코드 라이브러리를 쉽게 검색하고 설치하며 관리할 수 있도록 도와준다. 이를 통해 기존 코드를 재사용해 소프트웨어를 간편하게 개발할 수 있다.
공격자들은 널리 쓰이는 패키지들의 인기를 악용하고 있다. 3월 북한과 연계된 라자루스 그룹이 여러 개의 악성 npm 패키지를 배포한 사실이 보고됐다. 이들은 여러 차례 다운로드된 후에야 삭제됐다. 이 패키지엔 자격 증명, 암호화폐 지갑을 탈취하고 백도어를 배포하는 악성코드가 포함되어 있었다. 윈도우와 맥OS, 리눅스 시스템을 모두 겨냥했다. 깃허브 저장소를 활용해 신뢰성을 높이는 수법을 썼다.
카스퍼스키 글로벌 연구 분석팀(GReAT)도 이 공격과 관련된 다른 npm 패키지를 발견했다. 이러한 악성 npm 패키지는 웹 개발, 암호화폐 플랫폼, 기업용 소프트웨어에 통합돼 광범위한 데이터 유출 및 재정 손실 위험을 초래할 수 있다.
GReAT 팀은 작년 chatgpt-python이나 chatgpt-wrapper 같은 악성 파이썬 패키지가 PyPI에 업로드된 것을 발견하기도 했다. 이 패키지들은 챗GPT API 와 상호작용하는 정상적 도구로 위장했으나, 자격 증명 탈취 및 백도어 배포를 위해 설계됐다. 공격자들은 AI 개발 인기를 악용, 개발자들을 속이여 악성 패키지를 다운로드하게 만들었다.
이들 패키지는 AI 개발, 챗봇 통합, 데이터 분석 플랫폼 등에 사용됐을 수 있으며, 민감한 AI 워크플로우 및 사용자 데이터를 위협한다.
드미트리 갈로프 카스퍼스키 GReAT 리서치 센터장은 ”오픈소스 소프트웨어는 현대 기술 솔루션의 근간이지만, 그 개방성이 이제는 무기로 사용되고 있다”며 “2024년 말 기준 악성 패키지 수가 50% 증가했다는 사실은 공격자들이 인기 있는 패키지에 정교한 백도어 및 정보 탈취 도구를 적극 삽입하고 있음을 보여준다”고 말했다.
이효은 카스퍼스키 한국지사장은 “디지털 전환의 글로벌 리더인 대한민국은 오픈소스 공급망 위협에 특히 취약하다”며 “기업들은 개발부터 배포까지 실시간 코드 스캐닝과 엔드 투 엔드 검증을 포함한 선제적 방어 시스템을 구축해야 한다”고 밝혔다.
[여이레 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_Th.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
