파이썬 패키지에 숨겨진 맬웨어, 전 세계 개발자들에게 영향을 미침

PyPI에서 발견된 두 개의 악성 Python 패키지는 AI 도구를 흉내냈지만, 실제로는 JarkaStealer 악성 코드를 비밀리에 설치하여 1,700명 이상의 사용자로부터 민감한 데이터를 도난당했습니다.

카스퍼스키의 사이버 보안 전문가들이 널리 사용되는 소프트웨어 저장소인 Python Package Index(PyPI)에서 두 개의 악성 Python 패키지를 발견했습니다. 이는 목요일에 발표되었습니다.

이 패키지들은 개발자들이 GPT-4 Turbo와 Claude AI와 같은 고급 언어 모델과 상호작용하는 데 도움을 주는 것처럼 주장했지만, 실제로는 JarkaStealer라는 악성 소프트웨어를 설치하도록 설계되었습니다.

“gptplus”와 “claudeai-eng”이라는 이름의 패키지들은 합법적으로 보였으며, 그 설명과 예시들은 이들이 어떻게 AI 기반의 채팅을 생성하는데 사용될 수 있는지 보여주었습니다.

실제로, 그들은 ChatGPT의 데모 버전을 사용하여 일하는 척만 했습니다. 그들의 실제 목적은 악성 소프트웨어를 전달하는 것이었습니다. 코드 안에는 사용자의 시스템을 침해하는 JarkaStealer를 다운로드하고 설치하는 메커니즘이 숨겨져 있었습니다.

만약 Java가 이미 설치되어 있지 않다면, 패키지는 악성 소프트웨어가 실행될 수 있도록 Dropbox에서 Java를 가져와 설치할 수도 있습니다.

이 악의적인 패키지들은 1년 이상 동안 사용할 수 있었으며, 그 기간 동안 30개 이상의 나라에서 사용자들이 1,700번 이상 다운로드했습니다.

이 악성 코드는 브라우저 정보, 스크린샷, 시스템 세부 정보, 심지어는 Telegram, Discord, Steam과 같은 애플리케이션의 세션 토큰과 같은 기밀 데이터를 대상으로 했습니다. 이 훔친 데이터는 공격자에게 전송된 후 피해자의 컴퓨터에서 삭제되었습니다.

JarkaStealer은 민감한 정보를 수집하는 데 자주 사용되는 위험한 도구입니다. 소스 코드는 GitHub에서도 발견되었는데, 이는 PyPI에서 이를 배포한 사람들이 원래의 저자가 아니었을 수 있다는 것을 시사합니다.

PyPI 관리자들은 이런 악성 패키지를 제거했지만, 비슷한 위협이 다른 곳에서 나타날 수 있습니다.

이 패키지를 설치한 개발자들은 즉시 삭제하고, 해당 장치에서 사용된 모든 비밀번호와 세션 토큰을 변경해야 합니다. 이 멀웨어는 자체적으로 지속되지 않지만, 이미 중요한 정보를 훔쳐갔을 수 있습니다.

안전을 위해 개발자들은 사용 전에 오픈소스 소프트웨어를 신중히 검토하도록 권장되며, 이에는 퍼블리셔의 프로필 및 패키지 상세 정보 확인이 포함됩니다.

더 나은 보안을 위해, 오픈소스 컴포넌트에서 위협을 탐지하는 도구를 개발 과정에 포함시켜 이러한 공격을 예방하는 데 도움이 될 수 있습니다.