DevHackDebug logo

[카테고리:] Security

리눅스 코인채굴 악성코드 PyPI 패키지

Posted on - by aDHDmin

코인채굴 악성코드 파이썬 패키지 발견

PyPI 리포지토리의 악성코드 패키지

PyPI 리포지토리 악성코드 패키지 배포 사례

불과 몇주 전(12월 15일) 파이썬 패키지 인덱스 시스템(PyPI)에서 악성 패키지가 116개 발견되었고, 5월 이후 약 6개월간 10,000회 다운로드 되었다는 ESET의 리포트 소식을 전한 바 있다.1 2

리포지토리나 다운로드 파일을 조작해 소프트웨어 배포 체인을 공격하는 방법은, 불특정 다수를 대상으로 단기간내에 파일을 유포하고 시스템을 감염시킬 수 있으므로 공격자 입장에서는 아주 효율적인 공격 방법이다. 다수의 개발자들이 자발적으로 코드를 공유하고 배포하는 파이썬 패키지 인덱스와 같은 서비스는, 그러한 이유로 공격자가 파일 배포에 성공만 할 수 있다면 아주 매력적인 플랫폼이 된다.

리눅스 채굴기 설치하는 PyPI 패키지

최근 포티넷 홈페이지3를 통해 연구자들이 공개한 조사결과에 따르면, 파이썬 패키지 인덱스 시스템에서 3건의 채굴 악성 패키지가 발견되었으며, 제거되기 전 까지 약 400여 회 다운로드 된 것으로 보인다.4 이 패키지들은 ‘sastra‘라는 사용자명으로 업로드 되었으며, 각 modularseven-1.0, driftme-1.0, catme-1.0 의 이름으로 인덱스에 등록되었다. 이 패키지들은 여러 단계를 거쳐 최종 페이로드인 ELF 채굴기를 다운로드하고, 해당 파이선 패키지의 세션이 종료되어도 실행될 수 있도록 nohup 명령으로 채굴기를 실행한다.

IOCs

포티넷에서는 패키지를 확인할 수 있는 파일 및 URL 침해지표를 공개했다. 전체 목록은 공개된 보고서 하단에서 찾을 수 있다.

파일

다음은 각 패키지 파일과 최초 다운로드 되는 배시쉘 스크립트 페이로드 파일의 IOC 정보다

  • modularseven-1.0/modularseven/processor.py : 4b439d8cabc5e4ad593a26065e6d374efdddf41c8d91744b077a69812df170d2
  • driftme-1.0/driftme/processor.py : 687fb012479e563be63e02718eb7be7ee81974193c952777ca94234c95b25115
  • catme-1.0/catme/processor.py : 235b1ad3d21e7330d421c9a03b6b822fcdddacaa707bed9d67dabd43d4401fc6
  • unmi.sh : 070128a5b4e1aecb61b59f3f8ef2602e63cd1e5357f1314080a7c8a4960b0bee

URL

다음은 위의 패키지들이 스테이지 별 페이로드 다운을 위해 통신하는 도메인 및 URL주소 목록이다

  • hxxps[:]//papiculo[.]net/unmi[.]sh
  • hxxps[:]//papiculo[.]net/unmiconfig[.]json
  • hxxps[:]//gitlab[.]com/ajo9082734/Mine/-/raw/main/X

TL;DR

이슈 요약

최근의 PyPI 리포지토리를 통한 악성코드 배포사건 이후, 이번에는 리눅스 시스템을 대상으로 암호화폐 채굴기를 설치하는 악성 PyPI 패키지가 발견되었다. 3개의 패키지가 확인되었고 약 300여회 다운로드 된 것으로 보인다.

  1. PyPi 악성코드 패키지 정보
    https://devhackdebug.com/2023/12/15/pypi-malware-packages-iocs/ ↩︎
  2. A pernicious potpourri of Python packages in PyPI (welivesecurity.com)
    https://www.welivesecurity.com/en/eset-research/pernicious-potpourri-python-packages-pypi/ ↩︎
  3. Three New Malicious PyPI Packages Deploy CoinMiner on Linux Devices (fortinet.com)
    https://www.fortinet.com/blog/threat-research/malicious-pypi-packages-deploy-coinminer-on-linux-devices ↩︎
  4. Beware: 3 Malicious PyPI Packages Found Targeting Linux with Crypto Miners (TheHackerNews.com)
    https://thehackernews.com/2024/01/beware-3-malicious-pypi-packages-found.html ↩︎