악성패키지 (2) 썸네일형 리스트형 파이선 리포지토리 PyPI 악성패키지 유포 최근 Sonatype의 보안시스템에서 Python Public Repository인 PyPI에서 “pytoileur”이라는 악성패키지를 탐지하였습니다. 해당 패키지는 악성코드를 은닉하여 윈도우 사용자의 정보를 탈취하는 기능을 가지고 있습니다. Sonatype 보안팀에 의하여 sonatype-2024-1783으로 트래킹되고 있는 이 패키지는 약 260여 회 이상 다운로드 된 것으로 조사되었고, PyPI 관리자에게 패키지 삭제를 요청하였습니다. 패키지 버전 1.0.1과 1.0.2에 대한 분석이 이뤄졌고, 두 버전의 기능은 동일합니다. pytoileur는 동일 패키지를 Stack Overflow 를 비롯한 온라인 커뮤니티로도 유포하고 있기 때문에 각별한 주의가 필요합니다. 참고로 악성코드를 은닉한 방식은 “.. [비개발자의 눈] #4 - Security study : 의존성 혼동(Dependency Confusion) 의존성 혼동이란 수백 개에 달하는 악성 오픈소스 패키지를 크게 세 가지 유형으로 나누면 의존성 혼동(Dependency Confusion), 타이포스쿼팅(Typosquatting), 체인잭킹(Chainjacking)으로 구분됩니다. 이 중, 의존성 혼동(Dependency Confusion) 공격은 정상적인 소프트웨어와 동일한 이름을 갖고 있는 새로운 버전의 악의적인 소프트웨어를 이용한 수법입니다. 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함인데, 공격자들이 이 단순하면서도 자동화된 성질을 이용하는 것입니다. 실제 기업이 사용하는 사용 애플리케이션에서 전체 코드 중 76%가 오픈소스 소프트웨어이고, 전체 96%의 코드베이스가 오픈소.. 이전 1 다음
