8월 초기에 북한 주도의 해커들이 Python Package Index(Pypi)에 악성 패키지들을 업로드했습니다. 그 중 하나인 "VMConnect"는 범용 가상화 도구를 찾는 IT 전문가들을 목표로 했으며, VMware vSphere 커넥터 모듈인 'vConnector'를 흉내냈습니다. 이 패키지는 Pypi 플랫폼에서 제거될 때까지 237번 다운로드되었고, 동일한 코드를 가진 두 개의 추가 패키지인 'ethter'과 'quantiumbase'는 각각 253번과 216번 다운로드되었습니다.
소프트웨어 공급망 보안 회사인 ReversingLabs는 이번 캠페인을 북한 Lazarus 해커의 하위 그룹인 Labyrinth Chollima로 추정했습니다. 연구자들은 'tablediter' (736 다운로드), 'request-plus' (43 다운로드), 'requestspro' (341 다운로드) 같은 VMConnect 작전의 다른 패키지들을 또 발견했습니다. 이들 패키지들은 원래의 패키지와 같은 설명을 가지고 있으며, 파일 구조와 내용의 차이는 미비하였습니다.
악성 패키지들은 주로 'cookies.py'에서 나오는 악성 함수를 실행하는 '**init**.py' 파일의 수정에 관한 것이었습니다. 이것은 감염된 기계에서 데이터 수집을 유발합니다. 이 정보는 POST HTTP 요청을 통해 공격자의 명령 및 제어 서버에 전달됩니다.
요약
- 북한의 주도로 이루어진 해커들이 Python 패키지 저장소에 악성 패키지를 업로드 후 범용 가상화 도구를 찾는 IT 전문가들에게 공격했다.
- 이러한 악성 패키지들은 대부분 원래 패키지와 동일한 설명을 가지면서, 파일 구조와 내용에 미세한 차이가 있었다.
- 이러한 악성 패키지들은 공격 명령을 서버에 전달하고, 수집된 정보를 POST HTTP 요청을 통해 공격자의 명령 및 제어 서버에 전달한다.
Reference
*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*