Skip to content

Dev, Hack & Debug

Data Leakage, Espionage, Security Breach and Exploit

  • Front page
  • Development
  • Hacking
  • Debugging

[태그:] Malicious PyPI packages

리눅스 코인채굴 악성코드 PyPI 패키지

Posted on 2024-01-05 - 2024-01-05 by aDHDmin

코인채굴 악성코드 파이썬 패키지 발견

PyPI 리포지토리의 악성코드 패키지

PyPI 리포지토리 악성코드 패키지 배포 사례

불과 몇주 전(12월 15일) 파이썬 패키지 인덱스 시스템(PyPI)에서 악성 패키지가 116개 발견되었고, 5월 이후 약 6개월간 10,000회 다운로드 되었다는 ESET의 리포트 소식을 전한 바 있다.1 2

리포지토리나 다운로드 파일을 조작해 소프트웨어 배포 체인을 공격하는 방법은, 불특정 다수를 대상으로 단기간내에 파일을 유포하고 시스템을 감염시킬 수 있으므로 공격자 입장에서는 아주 효율적인 공격 방법이다. 다수의 개발자들이 자발적으로 코드를 공유하고 배포하는 파이썬 패키지 인덱스와 같은 서비스는, 그러한 이유로 공격자가 파일 배포에 성공만 할 수 있다면 아주 매력적인 플랫폼이 된다.

리눅스 채굴기 설치하는 PyPI 패키지

최근 포티넷 홈페이지3를 통해 연구자들이 공개한 조사결과에 따르면, 파이썬 패키지 인덱스 시스템에서 3건의 채굴 악성 패키지가 발견되었으며, 제거되기 전 까지 약 400여 회 다운로드 된 것으로 보인다.4 이 패키지들은 ‘sastra‘라는 사용자명으로 업로드 되었으며, 각 modularseven-1.0, driftme-1.0, catme-1.0 의 이름으로 인덱스에 등록되었다. 이 패키지들은 여러 단계를 거쳐 최종 페이로드인 ELF 채굴기를 다운로드하고, 해당 파이선 패키지의 세션이 종료되어도 실행될 수 있도록 nohup 명령으로 채굴기를 실행한다.

IOCs

포티넷에서는 패키지를 확인할 수 있는 파일 및 URL 침해지표를 공개했다. 전체 목록은 공개된 보고서 하단에서 찾을 수 있다.

파일

다음은 각 패키지 파일과 최초 다운로드 되는 배시쉘 스크립트 페이로드 파일의 IOC 정보다

  • modularseven-1.0/modularseven/processor.py : 4b439d8cabc5e4ad593a26065e6d374efdddf41c8d91744b077a69812df170d2
  • driftme-1.0/driftme/processor.py : 687fb012479e563be63e02718eb7be7ee81974193c952777ca94234c95b25115
  • catme-1.0/catme/processor.py : 235b1ad3d21e7330d421c9a03b6b822fcdddacaa707bed9d67dabd43d4401fc6
  • unmi.sh : 070128a5b4e1aecb61b59f3f8ef2602e63cd1e5357f1314080a7c8a4960b0bee

URL

다음은 위의 패키지들이 스테이지 별 페이로드 다운을 위해 통신하는 도메인 및 URL주소 목록이다

  • hxxps[:]//papiculo[.]net/unmi[.]sh
  • hxxps[:]//papiculo[.]net/unmiconfig[.]json
  • hxxps[:]//gitlab[.]com/ajo9082734/Mine/-/raw/main/X

TL;DR

이슈 요약

최근의 PyPI 리포지토리를 통한 악성코드 배포사건 이후, 이번에는 리눅스 시스템을 대상으로 암호화폐 채굴기를 설치하는 악성 PyPI 패키지가 발견되었다. 3개의 패키지가 확인되었고 약 300여회 다운로드 된 것으로 보인다.

  1. PyPi 악성코드 패키지 정보
    https://devhackdebug.com/2023/12/15/pypi-malware-packages-iocs/ ↩︎
  2. A pernicious potpourri of Python packages in PyPI (welivesecurity.com)
    https://www.welivesecurity.com/en/eset-research/pernicious-potpourri-python-packages-pypi/ ↩︎
  3. Three New Malicious PyPI Packages Deploy CoinMiner on Linux Devices (fortinet.com)
    https://www.fortinet.com/blog/threat-research/malicious-pypi-packages-deploy-coinminer-on-linux-devices ↩︎
  4. Beware: 3 Malicious PyPI Packages Found Targeting Linux with Crypto Miners (TheHackerNews.com)
    https://thehackernews.com/2024/01/beware-3-malicious-pypi-packages-found.html ↩︎
Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Mining, Malicious PyPI packages, MalwareLeave a comment

Search

Recent Posts

  • 8월 보안 업데이트 : Microsoft의 최신 취약점 패치와 중요 내용
  • Cisco Smart Software Manager CVE-2024-20419 취약점
  • Windows 업데이트 취약점: CVE-2024-38202, CVE-2024-21302
  • Apache OFBiz 취약점: CVE-2024-38856긴급 패치 필요
  • Rockwell Automation ControlLogix 1756 취약점: CIP 명령어 무단 실행 가능
  • VMware ESXi 취약점: 20,000개 인터넷 노출 인스턴스에 영향
  • Telit Cinterion 모뎀, 산업 IoT 기기 취약점 CVE 7건 발견!

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (23)
  • Hacking (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (202)
  • Security News (178)

Archives

  • 2024년 8월 (6)
  • 2024년 7월 (8)
  • 2024년 4월 (1)
  • 2024년 3월 (2)
  • 2024년 2월 (6)
  • 2024년 1월 (8)
  • 2023년 12월 (15)
  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.
Go to mobile version