search
ko한국어
banner
홈페이지 / 소식 / VMConnect: 인기 있는 오픈 소스 모듈을 모방하는 악성 PyPI 패키지
소식
pageSearch
최근 뉴스

VMConnect: 인기 있는 오픈 소스 모듈을 모방하는 악성 PyPI 패키지

Jul 28, 2023Jul 28, 2023

홈 » 편집 일정 » 소프트웨어 공급망 보안 » VMConnect: 인기 있는 오픈 소스 모듈을 모방한 악성 PyPI 패키지

ReversingLabs는 Python Package Index(PyPI) 오픈 소스 저장소에서 여러 악성 Python 패키지를 식별했습니다. 전체적으로 ReversingLabs 연구원들은 널리 사용되는 세 가지 오픈 소스 Python 도구를 모방한 24개의 악성 패키지를 발견했습니다. vConnector는 pyVmomi VMware vSphere 바인딩용 래퍼 모듈입니다. 이더리움 기반 애플리케이션을 테스트하기 위한 도구 모음인 eth-tester도 있습니다. 그리고 데이터베이스,다양한 데이터베이스에 대한 비동기 지원을 제공하는 도구입니다.

연구팀의 관찰에 따르면, 캠페인은 첫 번째 악성 패키지가 게시된 2023년 7월 28일 경에 시작되었습니다. 이전 패키지가 감지되고 제거됨에 따라 새로운 악성 PyPI 패키지가 매일 게시되면서 현재까지 계속되고 있습니다.

Operation Brainleeches와 같은 최근 공급망 캠페인과 달리 이 캠페인을 구성하는 악성 패키지는 개발자를 속이려는 공동 노력의 증거를 보여줍니다. 그들은 모방하고 있는 모듈의 전체 기능을 구현하고 PyPI 릴리스 패키지에서 발견된 악성 기능을 생략한 해당 GitHub 프로젝트를 세워 이를 달성합니다.

우리가 그러한 행동을 관찰한 것은 이번이 처음이 아닙니다. 예를 들어, 2022년 6월에 우리는 암호화폐 채굴 기능을 숨기기 위해 유사한 접근 방식을 사용하는 npm 악성 패키지인maintenancewebsite를 발견했습니다. VMConnect 캠페인은 악성 코드를 전파하는 데 사용되는 오픈 소스 모듈의 최신 사례이며 오픈 소스 코드 저장소의 보안 평가가 이러한 미묘한 공격을 놓칠 수 있다는 더 많은 증거입니다.

ReversingLabs 연구팀은 악성 코드 변조, 악성 패키지 또는 종속성 심기, 기타 형태의 소프트웨어 공급망 공격 사례가 있는지 오픈 소스 패키지 저장소를 지속적으로 모니터링하고 있습니다. 이 작업에는 npm, PyPI, Ruby 및 NuGet과 같은 가장 널리 사용되는 공개 패키지 저장소에 게시된 패키지에 대한 자동화된 인간 주도 스캔 및 분석이 모두 포함됩니다.

역사적으로 우리가 확인한 악성 공급망 캠페인의 대부분은 오픈 소스 프로젝트와 개발자의 대부분이 모여 있는 npm 오픈 소스 저장소에서 발견되었습니다. 그러나 최근 몇 달 동안 다른 플랫폼, 특히 Python Package Index(PyPI)에서 악성 활동이 증가했습니다. 예를 들어, 지난 2월 ReversingLabs 연구원들은 HTTP 라이브러리로 위장한 41개의 악성 PyPI 패키지를 발견했으며 일부는 인기 있고 널리 사용되는 라이브러리를 모방했습니다. 3월에 우리는 존재하지 않는 PyPI 패키지의 이름을 채택한 여러 버전으로 게시된 3단계 다운로더인 termcolour라는 악성 PyPI 패키지를 발견했습니다. 그러다가 5월에 PyPI는 악성 제출이 넘쳐 새로운 제출 수락을 잠시 중단했습니다.

ReversingLabs 위협 연구원들은 PyPI 저장소에 게시된 의심스러운 VMConnect 패키지를 포함하는 새로운 악성 PyPI 캠페인을 식별했습니다.

이 패키지는 광범위한 파일 형식에서 다양한 유형의 메타데이터를 추출할 수 있는 강력한 정적 분석 엔진인 ReversingLabs Titanium Platform의 일상적인 검색 중에 의심스러운 것으로 선언되었습니다.

ReversingLabs Titanium Platform은 다양한 유형의 메타데이터 외에도 동작 지표를 추출할 수 있어 파일의 기능적 기능을 더 쉽게 이해할 수 있습니다. 그리고 그 기능은 VMConnect 내의 _init_.py 파일에 우리의 관심을 끌었습니다. VMConnect의 __init__.py 파일 내부 코드는 프로세스를 생성하고 Base64 알고리즘을 사용하여 데이터를 디코딩하며 이진 데이터를 문자열 표현으로 변환할 수 있습니다. 이는 일반적으로 난독화에 사용되는 동작입니다. 이러한 동작 조합으로 인해 초기 탐지가 발생하고 추가 조사가 촉발되었습니다.

그림 1: VMConnect 패키지에서 추출된 동작 표시기.