Python 패키지 인덱스(PyPI)에 'pycord-self'라는 악성 패키지가 발견되었습니다. 이 패키지는 Discord 개발자를 대상으로 인증 토큰을 훔치고 원격 제어를 위한 백도어를 설치하는 것이 목표입니다. 이 패키지는 약 2800만 번 다운로드된 'discord.py-self'를 모방하며, 실제 프로젝트의 기능까지 제공합니다. 공식 패키지는 Discord의 사용자 API와 통신을 가능하게 하는 Python 라이브러리로, 개발자가 프로그램을 통해 계정을 제어할 수 있게 합니다.
코드 보안 회사 Socket에 따르면, 이 악성 패키지는 지난해 6월에 PyPi에 추가되었으며, 지금까지 885번 다운로드되었습니다. 현재까지도 PyPI에서 이 패키지를 다운로드 받을 수 있으며, 이 패키지는 플랫폼에서 확인한 출판사의 세부 정보를 가지고 있습니다. Socket 연구원들은 이 악성 패키지를 분석하고 'pycord-self'가 두 가지 주요 작업을 수행하는 코드를 발견했습니다. 하나는 피해자의 Discord 인증 토큰을 훔쳐 외부 URL로 보내는 것입니다.
또한, 이 악성 패키지는 6969 포트를 통해 원격 서버에 지속적인 연결을 생성함으로써 은밀한 백도어 메커니즘을 설정합니다. "운영 체제에 따라, 이는 공격자에게 피해자의 시스템에 지속적으로 접근할 수 있는 권한을 부여하는 쉘('bash' on Linux 또는 'cmd' on Windows)을 실행한다."라고 Socket은 보고서에서 설명했습니다. 소프트웨어 개발자들은 공식 작성자로부터 코드가 온 것인지 확인하지 않고 패키지를 설치하는 것을 피하고, 특히 인기 있는 패키지의 경우 패키지 이름을 확인하는 것이 중요합니다.
요약
- Python 패키지 인덱스(PyPI)에 'pycord-self'라는 악성 패키지가 발견되었으며, 이 패키지는 Discord 개발자의 인증 토큰을 훔치고 원격 제어를 위한 백도어를 설치한다.
- 이 악성 패키지는 'discord.py-self'를 모방하며, 실제 프로젝트의 기능까지 제공한다.
- 코드 보안 회사 Socket에 따르면, 이 악성 패키지는 지난해 6월에 PyPi에 추가되었으며, 지금까지 885번 다운로드되었다.
- 이 악성 패키지는 피해자의 Discord 인증 토큰을 훔쳐 외부 URL로 보내고, 6969 포트를 통해 원격 서버에 지속적인 연결을 생성함으로써 은밀한 백도어 메커니즘을 설정한다.
- 소프트웨어 개발자들은 공식 작성자로부터 코드가 온 것인지 확인하지 않고 패키지를 설치하는 것을 피하고, 특히 인기 있는 패키지의 경우 패키지 이름을 확인하는 것이 중요하다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.