PyPI 저장소, 악성 패키지로 몸살: 개발자와 쇼핑몰 노린 공격 주의보
최근 파이썬 패키지 저장소(PyPI)에서 악성 패키지가 발견되어 사용자들의 주의가 요구됩니다. 특히, 비트코인 개발자와 WooCommerce 쇼핑몰 운영자를 노린 공격이 포착되어 더욱 심각성을 더하고 있습니다. 이번 사건은 오픈소스 생태계의 보안 취약점을 드러내며, 개발자와 사용자 모두의 경각심을 일깨워주고 있습니다.
비트코인 개발자 노린 악성 패키지 발견
ReversingLabs의 사이버 보안 연구원들은 "bitcoinlibdbfix" 및 "bitcoinlib-dev"라는 악성 패키지를 발견했습니다. 이 패키지들은 누적 다운로드 수가 약 2,000회에 달하며, 합법적인 파이썬 모듈인 "bitcoinlib"의 수정본을 사칭했습니다. "bitcoinlib"은 암호화폐 지갑 생성 및 관리에 필요한 기능을 제공하는 모듈입니다. 공격자들은 이 모듈을 사용하는 개발자들을 속여 악성 코드를 설치하도록 유도하려 했습니다. 악성 패키지는 ‘clw cli’ 명령어를 악성 코드로 덮어쓰고, 중요한 데이터베이스 파일을 탈취하는 방식으로 작동합니다.
WooCommerce 쇼핑몰 겨냥한 카드 정보 탈취 시도
Socket의 연구원들은 비트코인 개발자가 아닌 WooCommerce 쇼핑몰을 대상으로 하는 또 다른 악성 패키지 "disgrasya"를 발견했습니다. 이 패키지는 카드 정보를 탈취하는 악성 스크립트로, 무려 37,217회나 다운로드되었습니다. "disgrasya"는 7.36.9 버전부터 악성 코드가 포함되었으며, 이후 버전에도 동일한 공격 로직이 적용되었습니다. 이 패키지는 훔친 신용카드 정보를 사용하여 무단 구매를 하거나 카드 활성 여부를 테스트하는 데 사용되는 ‘카드깡’을 자동화하는 데 사용됩니다. 공격자들은 다크 웹에서 카드 정보를 구매한 후 "disgrasya"를 통해 범죄 수익을 올릴 수 있습니다.
악성 패키지, 이미 삭제 조치 완료
다행히 "bitcoinlibdbfix"와 "bitcoinlib-dev" 패키지의 악성 코드는 패키지 기여자들에 의해 빠르게 감지되어 삭제되었습니다. 하지만 "disgrasya"의 경우에는 악성 코드가 노골적으로 드러났음에도 불구하고 많은 사용자가 다운로드했다는 점에서 보안 인식이 여전히 부족함을 보여줍니다. 현재 세 가지 악성 패키지는 모두 PyPI 저장소에서 삭제된 상태입니다.
오픈소스 보안, 지속적인 관심과 노력이 필요
이번 사건은 오픈소스 소프트웨어의 보안 문제에 대한 경각심을 다시 한번 일깨워줍니다. 오픈소스는 투명성과 협업을 통해 발전하지만, 악의적인 사용자에 의해 악용될 가능성도 존재합니다. 따라서 개발자는 패키지를 사용하기 전에 신뢰성을 꼼꼼히 확인하고, 보안 업데이트를 꾸준히 적용해야 합니다. 또한, 사용자 역시 출처가 불분명한 패키지를 설치하지 않도록 주의해야 합니다. 오픈소스 생태계의 안전을 위해서는 개발자와 사용자 모두의 지속적인 관심과 노력이 필요합니다.
맺음말
PyPI 저장소에서 발견된 악성 패키지 사건은 오픈소스 보안의 중요성을 강조합니다. 개발자와 사용자는 보안에 대한 경각심을 높이고, 안전한 소프트웨어 사용 습관을 길러야 합니다. 오픈소스 커뮤니티는 보안 취약점을 개선하고, 악성 코드 유포를 방지하기 위한 노력을 지속해야 합니다.
