2025년 11월부터 Python 개발자, 특히 Telegram 봇을 개발하는 이들을 겨냥한 악성 Pyrogram 포크 유포 캠페인이 확인되었다. 공격자는 PyPI에 최소 8개의 악성 패키지를 게시했으며, 이들 패키지는 Pyrogram의 정상 소스코드를 포함하면서도 helpers 모듈 내에 secret.py라는 백도어를 숨겨두었다. 해당 백도어는 봇이 실행될 때 활성화되어 공격자가 임의의 Python 코드나 셸 명령을 실행할 수 있도록 한다.
Checkmarx 연구진에 따르면, 공격자는 VLifeGram, VLife-Gram, pyrogram-navy, pyrogram-styled, pyrogram-zeeb, kelragram, sepgram, pyrogram-kelra 등 다양한 이름으로 PyPI에 악성 포크를 올렸으며, 이들 패키지는 총 수만 건의 다운로드가 이루어졌다. 백도어는 하드코딩된 Telegram ID(OWNERS 리스트)를 통해 공격자만이 제어할 수 있도록 설계되었으며, 감염된 봇이 실행되면 서버 내 임의 파일 접근, 데이터베이스 다운로드, 비밀정보 탈취, 지속적 백도어 설치 등이 가능하다.
이 악성코드는 Telegram 봇 계정에서만 활성화되며, 에러 및 로깅을 비활성화해 탐지를 어렵게 한다. Checkmarx는 동일한 OWNERS 리스트, 백도어 코드, 명령어, 인프라를 근거로 단일 공격자의 소행으로 추정했다. 감염된 개발자는 즉시 해당 패키지를 삭제하고, 서버 내 모든 자격증명을 교체하며, Telegram 봇 토큰을 폐기해야 한다.
요약
- 2025년 11월부터 Telegram 봇 개발자를 겨냥한 악성 Pyrogram 포크가 PyPI에 유포되었다.
- helpers 모듈 내 secret.py 백도어를 통해 공격자가 임의 코드 및 명령 실행이 가능하다.
- 하드코딩된 OWNERS 리스트로 공격자만이 제어할 수 있으며, 서버 내 민감 정보 탈취가 가능하다.
- 동일한 코드와 인프라로 단일 공격자의 소행으로 추정된다.
- 감염 시 즉시 패키지 삭제, 자격증명 교체, 봇 토큰 폐기가 권고된다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.