일본의 컴퓨터 보안 사고 대응팀(JPCERT/CC)은 북한의 해킹 그룹 라자루스가 개발자를 감염시키기 위해 PyPI 패키지에 악성 코드를 업로드했다고 경고하고 있습니다. PyPI는 개발자들이 프로그램에 추가 기능을 쉽게 추가할 수 있도록 오픈 소스 소프트웨어 패키지를 제공하는 저장소입니다. 이 플랫폼의 엄격한 검사 부재로 인해 위협 요소들이 정보 도용 멀웨어와 백도어와 같은 악성 패키지를 업로드할 수 있게 되었습니다.
라자루스는 이번에 'Comebacker'라는 악성코드 로더를 설치하는 패키지를 PyPI에 다시 업로드했습니다. 이 패키지들은 'pycrypto' 프로젝트와의 거짓말 같은 연결을 만들어내는 두 개의 패키지 이름을 포함하고 있습니다. 이 패키지들은 현재 PyPI에서 사용할 수 없지만, 수천 개의 시스템이 라자루스의 악성 코드에 의해 이미 손상되었습니다.
일본의 사이버 보안 기관은 최종 페이로드가 "Comebacker"라는 악성 코드라고 밝혔습니다. 이 악성 코드는 공격자의 명령 및 제어 서버에 연결하고, 인코딩된 문자열을 포함하는 HTTP POST 요청을 보내고, 추가적인 윈도우 멀웨어가 메모리에 로드되기를 기다립니다. 라자루스는 기업 네트워크를 침해하여 금융 사기를 주로 저지르며, 이전에는 Axie Infinity의 Ronin 네트워크 브리지에서 이더리움을 훔치는 등의 공격을 수행했습니다.
요약
- 일본의 컴퓨터 보안 사고 대응팀(JPCERT/CC)은 북한의 해킹 그룹 라자루스가 PyPI 패키지에 악성 코드를 업로드했다고 경고
- 라자루스는 'Comebacker'라는 악성코드 로더를 설치하는 패키지를 PyPI에 다시 업로드
- 일본의 사이버 보안 기관은 최종 페이로드가 "Comebacker"라는 악성 코드라고 밝혔으며, 라자루스는 기업 네트워크를 침해하여 금융 사기를 주로 저지르고 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.