한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
PyPI 해커는 교활한 새로운 전술을 코딩합니다. 연구원들이 그들을 적발했습니다
홈 » 편집 달력 » 소프트웨어 공급망 보안 » PyPI 해커는 교활한 새로운 전술을 코드화합니다. 연구원들이 그들을 적발했습니다
PyPI(Python Package Index) 공격자는 컴파일된 코드를 사용하여 탐지를 회피했습니다..PYC 파일 직접 실행을 활용하는 첫 번째 공격일 가능성이 있지만 마지막 공격은 아닐 가능성이 높습니다.
Karlo Zanki가 이끄는 ReversingLabs의 리버스 엔지니어링 팀 (사진)이 전술을 발견했다. 이번 주 보안 소프트웨어 Blogwatch에서는 reax를 올바르게 정리했습니다.
귀하의 겸손한 블로그 관찰자가 귀하의 엔터테인먼트를 위해 이러한 블로그 정보를 선별했습니다. 말할 것도 없이: 꿀벌은 여행 가방에 포장되어 있습니다.
무슨 일이야?Steven J. Vaughan-Nichols 보고서 — "새로운 PyPI 공격에 사용되는 컴파일된 Python 코드":
"장난까지" PyPI는 휴식을 취할 수 없습니다. 인기 있는 Python 프로그래밍 언어 코드 저장소는 수많은 공격을 받아 한동안 새로운 구성원을 제한해야 했습니다. 이제 소프트웨어 코드 보안 스캐너를 피하는 새로운 공격이 있습니다. … 엄청난. 정말 훌륭합니다.…파이썬 바이트 코드(PYC) 파일의 기능을 활용하여 직접 실행되는 이전에 탐색되지 않은 접근 방식을 사용합니다. 따라서 Python 소스 코드(PY) 파일에서 문제를 검사하는 보안 도구를 방지합니다. ReversingLabs 직원은 ReversingLabs 소프트웨어 공급망 보안 플랫폼이 컴파일된 바이너리에서 의심스러운 동작을 발견했을 때 의심스러운 패키지를 발견했습니다.… 보안 도구를 통한 탐지. ... 간단히 말해서, 그들은 장난을 치고 있었습니다. … 일단 활성화되면 로드된 라이브러리는 사용자 이름, 호스트 이름 및 디렉터리 목록을 수집하고 예약된 작업 또는 cronjob을 사용하여 실행할 명령을 가져오는 등 다양한 악성 기능을 실행합니다.
빈칸을 채우고,Nate Nelson입니다 — "새로운 PyPI 악성코드는 컴파일된 Python 바이트코드를 사용하여 탐지를 회피합니다":
"공격자는 진화하고 있다" 악성 패키지는 PyPI에서 새롭거나 특별히 드문 것은 아니지만, 많은 패키지와는 달리 fshec2는 컴파일된 코드 내부에 모든 악성 기능을 포함하고 있어 발견하기 어렵습니다. … fshec2의 천재성은 좋은 해커 위생의 기본 규칙을 어떻게 생략하는지에 있습니다. [그것은] 악의적인 기능을 전면에 로드했으며 난독화 도구에 전혀 의존하지 않았습니다.…바이트코드는 Python을 표현한 것으로, 세트로 컴파일됩니다. Python 가상 머신에 대한 지침입니다. … 이는 소스 코드와 기계 바이너리 사이 어딘가에 존재합니다.…"악성 코드를 서비스하는 데 활용되는 악성 Python 라이브러리가 엄청나게 증가했습니다."라고 ReversingLabs의 위협 인텔리전스 옹호 이사인 Ashlee Benge는 말합니다. … "이 동작은 좀 더 정교하며, 공격자가 진화하고 있으며 출시되고 있는 더 나은 탐지에 주의를 기울이고 있음을 보여줍니다. … 아마도 앞으로도 이런 종류의 공격이 계속 증가할 것입니다. "
그리고 당신의 상사는 이해할 것이다Lucian Constantin — "대부분의 취약점 검색 도구는 컴파일된 오픈 소스 소프트웨어를 읽지 않습니다.":
"현대적인 소프트웨어 공급망 위협" JavaScript용 npm, Python용 PyPI, Ruby용 RubyGems와 같은 공개 저장소에 있는 대부분의 패키지는 아카이브로 패키지된 오픈 소스 코드 파일로 구성됩니다. 포장을 풀고 읽기가 쉬우며 결과적으로 이러한 저장소에 대한 보안 스캐너가 이러한 유형의 패키징을 처리하도록 구축되었습니다.… 이러한 최신 소프트웨어 공급망 위협을 처리하려면 조직에는 정적 코드 분석 솔루션 이상의 것이 필요합니다. … 공격자들은 탐지를 회피하기 위해 보안 회사와 끊임없는 싸움을 벌이고 있습니다.
말 입?ReversingLabs의 Karlo Zanki — "바이트 코드가 바이트될 때":
"구성 실수" PYC 파일이 직접 실행될 수 있다는 사실을 활용하는 최초의 공급망 공격일 수 있습니다. … 우리는 발견된 fshec2라는 패키지를 2023년 4월 17일 PyPI 보안 팀에 보고했고, 같은 날 PyPI 저장소에서 제거되었습니다. [그들은] 이전에 본 적이 없다는 것을 인정했습니다....ReversingLabs는 PyPi, npm, RubyGems 및 GitHub와 같은 오픈 소스 레지스터를 정기적으로 검사하여 의심스러운 파일을 찾습니다. … 이러한 파일은 이상한 특성이나 동작을 보이기 때문에 이러한 플랫폼에서 호스팅되는 수백만 개의 합법적인 파일에서 종종 튀어나옵니다. … fshec2의 경우가 그랬습니다. … ReversingLabs 소프트웨어 공급망 보안 플랫폼을 사용한 스캔 … fshec2 컴파일 바이너리에서 의심스러운 동작 조합을 추출했습니다. … 멀웨어가 원격 C2 인프라에 의존한다는 점을 고려하면 웹을 정찰하는 것이 타당했습니다. 공격에 사용된 호스트 … 일반 개발자와 마찬가지로 맬웨어 작성자도 인프라를 설정할 때 구성 실수를 저지르는 경우가 많습니다. … 이러한 실수의 수는 이 공격이 국가가 후원하는 공격자의 작업이 아니며 지능형 지속 위협(APT)이 아니라는 결론으로 이어질 수 있습니다.