인공지능 스타트업 딥시크의 인기 상승을 이용해 악성 인포스틸러 패키지를 홍보하는 위협 요소가 발견되었습니다. 이 패키지들은 파이썬 패키지 인덱스(PyPI)에서 딥시크의 개발자 도구를 가장한 것으로, "deepseeek"과 "deepseekai"라는 이름으로 등록되었습니다. 이 패키지들은 2023년 6월에 생성된 계정을 통해 업로드되었으며, 이 계정은 이전에는 활동이 없었습니다.
딥시크 AI의 파이썬 클라이언트를 가장한 이 패키지들은 개발자들이 이용하면 데이터를 도난당하는 인포스틸러였습니다. 개발자의 기기에서 실행되면, 이 악성 페이로드는 사용자와 시스템 데이터, API 키, 데이터베이스 자격증명, 인프라 접근 토큰 등의 환경 변수를 훔칩니다. 그 후, 도난당한 정보는 합법적인 자동화 플랫폼인 파이프드림을 사용해 eoyyiyqubj7mquj.m.pipedream[.]net에 위치한 명령 및 제어(C2) 서버로 유출됩니다.
위협 요소는 이 도난당한 정보를 사용해 개발자가 이용하는 클라우드 서비스, 데이터베이스, 그 외 보호된 자원에 접근할 수 있습니다. "이 패키지에서 사용된 함수들은 사용자와 컴퓨터 데이터를 수집하고 환경 변수를 훔치도록 설계되었다"라고 포지티브 테크놀로지스의 보고서에는 적혀 있습니다.
요약
- 인공지능 스타트업 딥시크의 인기 상승을 이용해 악성 인포스티일러 패키지를 홍보하는 위협 요소가 발견되었다.
- 이 패키지들은 파이썬 패키지 인덱스(PyPI)에서 딥시크의 개발자 도구를 가장한 것으로, "deepseeek"과 "deepseekai"라는 이름으로 등록되었다.
- 개발자의 기기에서 실행되면, 이 악성 페이로드는 사용자와 시스템 데이터, API 키, 데이터베이스 자격증명, 인프라 접근 토큰 등의 환경 변수를 훔친다.
- 위협 요소는 이 도난당한 정보를 사용해 개발자가 이용하는 클라우드 서비스, 데이터베이스, 그 외 보호된 자원에 접근할 수 있다.
- 이 패키지들을 이용한 개발자들은 API 키, 인증 토큰, 비밀번호를 즉시 변경해야 하며, 자격증명이 도난당한 클라우드 서비스는 침해당하지 않았는지 확인해야 한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.