유명 파이선 리포지터리인 PyPI에 랜섬웨어가 등록됐다. 유명 라이브러리와 비슷한 이름으로 세 개나 업로드 된 것인데, 그 배후에는 이탈리아의 10대 학생이 있었다. 돈을 버는 게 목적은 아니었지만 장난 삼아 여러 개발자들을 곤란케 했다.
[보안뉴스 문가용 기자] 이탈리아의 한 학생이 소프트웨어 공급망이 얼마나 취약한지를 상기시키는 사건을 일으켰다. 유명 파이선 패키지 리포지터리인 PyPI에 장난 삼아 랜섬웨어 스크립트를 업로드 한 것이다. 악성 패키지의 이름은 requesys, requesrs, requesr이었고, 전부 requests라는 인기 높은 파이선 라이브러리를 흉내 낸 것들이다. 즉 타이포스쿼팅 공격을 하기 위한 장치들이었던 것이다.
[이미지 = utoimage]
보안 업체 소나타입(Sonatype)의 연구원들에 의하면 requesys라는 패키지의 경우 258회 다운로드 됐다고 한다. 실제로 requests를 검색하다가 실수로 다운로드 받은 것으로 추정된다. 이 패키지 안에는 문서, 다운로드, 그림 폴더를 암호화 하는 스크립트가 포함되어 있었다. 또한 한 버전에서는 암호화 및 복호화 코드가 평문으로 저장되어 있기도 했지만, 그 다음에 나온 버전들은 베이스64(Base64) 알고리즘으로 난독화 처리가 된 실행파일 형태라 분석이 더 까다로웠다고 한다.
이 패키지를 받고 공격에 당한 개발자들의 컴퓨터에는 팝업 메시지가 뜬다고 한다. 패키지 개발자인 b8ff에게 연락을 하라는 내용이다. 연락 방법은 디스코드(Discord)를 통해서이고, 연락만 하면 복호화 키를 주겠다는 약속도 담겨져 있었다. 실제로 이 메시지 그대로 연락을 한 개발자들은 아무런 대가 없이 복호화 키를 받아 파일들을 살릴 수 있었다고 소나타입은 설명한다. “그래서 이것이 악의적인 행동이라고 말하기에 애매합니다. 한 15명 정도가 디스코드로 복호화 키를 받은 것으로 보입니다.” 현재는 PyPI에 해당 패키지들이 전부 사라진 상태다.
소나타입의 수석 보안 연구원인 안키타 람바(Ankita Lamba)는 “이 사건으로 우리가 배워야 할 건 크게 두 가지”라고 짚는다. “먼저는 공공 리포지터리에서 라이브러리를 검색할 때 오타 여부를 반드시 확인해야 한다는 겁니다. 라이브러리를 통한 공급망 공격 시 가장 많이 활용되는 기법이 타이포스쿼팅이기도 합니다. 그 다음은 리포지터리에서 자기가 뭘 다운로드 받는지 두 번 세 번 확인해야 한다는 겁니다. 오픈소스와 리포지터리의 라이브러리는 항상 위험에 노출되어 있다는 것을 기억해야 합니다.”
리포지터리의 위험 요인들, 갈수록 늘어나
최근 리포지터리에 악성 코드를 올려두는 공격 행위가 증가하고 있다. 명백히 개발자들을 노리는 것으로, 한참 소프트웨어를 개발하던 사람이 무심코 악성 패키지를 다운로드 받아 개발을 이어간다면, 완성된 소프트웨어는 자동으로 악성 소프트웨어가 된다. 공격자 입장에서는 매우 효율적으로 많은 시스템을 감염시킬 수 있는 방법이 되는 것이다.
공격자들이 리포지터리에서 개발자들을 속이는 여러 가지 방법들 중 대표적인 건 이번의 이탈리아 학생이 벌인 해프닝에서 보이는 ‘타이포스쿼팅’이다. 인기 높은 라이브러리와 최대한 비슷한 이름으로 패키지를 만들어 업로드하는 것을 말한다. 지난 5월 약 300명의 개발자들이 PyKafka라는 유명 패키지를 다운로드 하려다가 Pymafka라는 악성 라이브러리를 다운로드 받기도 했었다.
이번 달 보안 업체 카스퍼스키(Kaspersky)는 NPM이라는 또 다른 유명 리포지터리에서 정보 탈취형 악성 패키지 4개를 발견하기도 했다. 얼마 지나지 않아 리버싱랩스(ReversingLabs)라는 업체에서도 20개가 훨씬 넘는 악성 모듈을 NPM에서 발견했는데, 이 모듈들의 총 다운로드 수는 2만 7천 번 이상이었다. 현재 이 악성 모듈로 만들어진 모바일 앱과 웹사이트가 수천 개에 이를 것으로 추정되는 상황이다.
이 때문에 보안 업계는 최근 개발자들을 대상으로 한 보안 교육이 시급하다고 주장하고 있다. 특히 오픈소스를 활용하는 부분에 있어 개발자들이 알아두고 실천해야 할 것이 있다고 강조된다. 인기 높은 리포지터리인 깃허브(GitHub), PyPI, NPM, 메이븐 센트럴(Maven Central)에서 전부 이런 류의 사건이 한 번 이상 발생했었고, 그 수는 점점 증가할 것으로 예상되는 상황에서 개발자들의 보안 인지 제고는 필수적이다.
한편 소나타입은 이번 사건을 일으킨 ‘범인’에 연락을 취했다. 여러 가지 이야기를 나누는 와중에 범인은 자신이 아직 10대 학생이며, 최근 익스플로잇 개발에 심취해 있다고 밝혔다고 한다. 또한 이번 ‘실험’에 사용된 랜섬웨어 스크립트는 전부 오픈소스였으며, 모든 것이 재미로 진행되었다고 주장했다. “이 10대 학생은 멀웨어나 익스플로잇을 만들고 성공시키는 것이 너무 쉬워서 재미있다고 여러 번 강조했습니다.”
한국에서도 얼마 전 10대 고등학생들이 해킹 기법을 동원해 시험지를 빼돌린 사건이 발생해 파문이 일었다.
3줄 요약
1. 한 이탈리아의 10대 학생이 리포지터리에 랜섬웨어를 올림.
2. 수백 명의 개발자가 이 랜섬웨어를 패키지로 착각하여 다운로드 함.
3. 사이버 공격을 성공시키는 게 너무 쉬워서 재미있다고 증언한 학생.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 이탈리아의 한 학생이 소프트웨어 공급망이 얼마나 취약한지를 상기시키는 사건을 일으켰다. 유명 파이선 패키지 리포지터리인 PyPI에 장난 삼아 랜섬웨어 스크립트를 업로드 한 것이다. 악성 패키지의 이름은 requesys, requesrs, requesr이었고, 전부 requests라는 인기 높은 파이선 라이브러리를 흉내 낸 것들이다. 즉 타이포스쿼팅 공격을 하기 위한 장치들이었던 것이다.
[이미지 = utoimage]
보안 업체 소나타입(Sonatype)의 연구원들에 의하면 requesys라는 패키지의 경우 258회 다운로드 됐다고 한다. 실제로 requests를 검색하다가 실수로 다운로드 받은 것으로 추정된다. 이 패키지 안에는 문서, 다운로드, 그림 폴더를 암호화 하는 스크립트가 포함되어 있었다. 또한 한 버전에서는 암호화 및 복호화 코드가 평문으로 저장되어 있기도 했지만, 그 다음에 나온 버전들은 베이스64(Base64) 알고리즘으로 난독화 처리가 된 실행파일 형태라 분석이 더 까다로웠다고 한다.
이 패키지를 받고 공격에 당한 개발자들의 컴퓨터에는 팝업 메시지가 뜬다고 한다. 패키지 개발자인 b8ff에게 연락을 하라는 내용이다. 연락 방법은 디스코드(Discord)를 통해서이고, 연락만 하면 복호화 키를 주겠다는 약속도 담겨져 있었다. 실제로 이 메시지 그대로 연락을 한 개발자들은 아무런 대가 없이 복호화 키를 받아 파일들을 살릴 수 있었다고 소나타입은 설명한다. “그래서 이것이 악의적인 행동이라고 말하기에 애매합니다. 한 15명 정도가 디스코드로 복호화 키를 받은 것으로 보입니다.” 현재는 PyPI에 해당 패키지들이 전부 사라진 상태다.
소나타입의 수석 보안 연구원인 안키타 람바(Ankita Lamba)는 “이 사건으로 우리가 배워야 할 건 크게 두 가지”라고 짚는다. “먼저는 공공 리포지터리에서 라이브러리를 검색할 때 오타 여부를 반드시 확인해야 한다는 겁니다. 라이브러리를 통한 공급망 공격 시 가장 많이 활용되는 기법이 타이포스쿼팅이기도 합니다. 그 다음은 리포지터리에서 자기가 뭘 다운로드 받는지 두 번 세 번 확인해야 한다는 겁니다. 오픈소스와 리포지터리의 라이브러리는 항상 위험에 노출되어 있다는 것을 기억해야 합니다.”
리포지터리의 위험 요인들, 갈수록 늘어나
최근 리포지터리에 악성 코드를 올려두는 공격 행위가 증가하고 있다. 명백히 개발자들을 노리는 것으로, 한참 소프트웨어를 개발하던 사람이 무심코 악성 패키지를 다운로드 받아 개발을 이어간다면, 완성된 소프트웨어는 자동으로 악성 소프트웨어가 된다. 공격자 입장에서는 매우 효율적으로 많은 시스템을 감염시킬 수 있는 방법이 되는 것이다.
공격자들이 리포지터리에서 개발자들을 속이는 여러 가지 방법들 중 대표적인 건 이번의 이탈리아 학생이 벌인 해프닝에서 보이는 ‘타이포스쿼팅’이다. 인기 높은 라이브러리와 최대한 비슷한 이름으로 패키지를 만들어 업로드하는 것을 말한다. 지난 5월 약 300명의 개발자들이 PyKafka라는 유명 패키지를 다운로드 하려다가 Pymafka라는 악성 라이브러리를 다운로드 받기도 했었다.
이번 달 보안 업체 카스퍼스키(Kaspersky)는 NPM이라는 또 다른 유명 리포지터리에서 정보 탈취형 악성 패키지 4개를 발견하기도 했다. 얼마 지나지 않아 리버싱랩스(ReversingLabs)라는 업체에서도 20개가 훨씬 넘는 악성 모듈을 NPM에서 발견했는데, 이 모듈들의 총 다운로드 수는 2만 7천 번 이상이었다. 현재 이 악성 모듈로 만들어진 모바일 앱과 웹사이트가 수천 개에 이를 것으로 추정되는 상황이다.
이 때문에 보안 업계는 최근 개발자들을 대상으로 한 보안 교육이 시급하다고 주장하고 있다. 특히 오픈소스를 활용하는 부분에 있어 개발자들이 알아두고 실천해야 할 것이 있다고 강조된다. 인기 높은 리포지터리인 깃허브(GitHub), PyPI, NPM, 메이븐 센트럴(Maven Central)에서 전부 이런 류의 사건이 한 번 이상 발생했었고, 그 수는 점점 증가할 것으로 예상되는 상황에서 개발자들의 보안 인지 제고는 필수적이다.
한편 소나타입은 이번 사건을 일으킨 ‘범인’에 연락을 취했다. 여러 가지 이야기를 나누는 와중에 범인은 자신이 아직 10대 학생이며, 최근 익스플로잇 개발에 심취해 있다고 밝혔다고 한다. 또한 이번 ‘실험’에 사용된 랜섬웨어 스크립트는 전부 오픈소스였으며, 모든 것이 재미로 진행되었다고 주장했다. “이 10대 학생은 멀웨어나 익스플로잇을 만들고 성공시키는 것이 너무 쉬워서 재미있다고 여러 번 강조했습니다.”
한국에서도 얼마 전 10대 고등학생들이 해킹 기법을 동원해 시험지를 빼돌린 사건이 발생해 파문이 일었다.
3줄 요약
1. 한 이탈리아의 10대 학생이 리포지터리에 랜섬웨어를 올림.
2. 수백 명의 개발자가 이 랜섬웨어를 패키지로 착각하여 다운로드 함.
3. 사이버 공격을 성공시키는 게 너무 쉬워서 재미있다고 증언한 학생.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
