| 개요 | - 정체를 알 수 없는 사이버 공격자가 파이토치(PyTorch)라는 머신러닝 프로젝트에 악성 바이너리를 몰래 삽입 - 악성 프로젝트를 PyPI에 등록 후 파이토치와 관련된 누군가가 12월 25 ~ 30일 사이에 이를 다운로드 |
| 내용 | - 공격자들이 디펜던시 혼동 공격(dependency confusion attack)을 실시 ※ 디펜던시 혼동 공격 > 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함 > 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것 - 공격자들은 torchtriton이라는 이름의 악성 패키지를 만들어 PyPI에 등록 - torchtriton은 파이토치 프로젝트와 관련이 있는 코드 라이브러리 - 악성 패키지에는 torchtriton의 여러 기능이 똑같이 포함 + 훔친 데이터를 특정 도메인에 업로드하는 기능 - 피해자의 시스템 정보, 사용자 이름, 환경 변수, 피해자의 시스템과 연결된 모든 호스트, 비밀번호 해시 목록, 피해자의 홈 디렉토리에 저장된 파일 1천 개를 훔쳐가는 것으로 조사 - PyPI를 노리는 공격 시도는 크게 증가 > PyPI는 파이썬 생태계에서 중요한 위치에 있으며, 같은 이름의 패키지 등록이 가능함 - PyPI 리포지터리는 공공 리포지터리에 있는 패키지가 비공개 리포지터리에 있는 패키지보다 우선 검색 및 로딩 > torchtriton은 파이토치 프로젝트 개발자들이 프로젝트의 비공개 리포지터리에서부터 로딩 > 누군가 파이토치 내부 패키지 이름을 정확하게 알아냈다는 것을 의미 |
| 결론 | - 파이토치 측은 문제를 발견하자마자 즉시 악성 패키지가 아니라 정상 패키지로 연결되도록 조치 및 torchtriton과 관련이 있는 모든 빌드들을 삭제 - 25일부터 30일 사이에 계속 파이토치로 작업을 했다면 침해의 증거가 직접적으로 존재하지 않더라도 새로운 SSH 키 값들을 생성해 활용하는 게 안전 - 12월 29일, 보안 전문가가 디펜던시 혼동 공격을 조사하며 실험하는 과정 중에 발생한 실수 게시글 업로드 |
- 보안뉴스
PyPI 통한 공급망 공격이 성공하여 파이토치에까지 멀웨어 심겨져
정체를 알 수 없는 사이버 공격자가 파이토치(PyTorch)라는 머신러닝 프로젝트에 악성 바이너리를 몰래 삽입하는 데 성공했다. 이들은 먼저 악성 프로젝트를 PyPI에 등록시켰는데 파이토치와 관련
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| [긴급] 중국 해커조직, 한국 정부·공공기관 타깃 대규모 해킹 작전 선포 외 10건 (0) | 2023.01.27 |
|---|---|
| 노턴 라이프락 계정에 대한 크리덴셜 스터핑 공격, 통했다 (0) | 2023.01.16 |
| 엔드포인트 솔루션 무력화시키는 새로운 공격 기법, 블라인드사이드 (0) | 2022.12.22 |
| 북 해커조직 APT37, 만능 기능 ‘돌핀’ 백도어로 남한 정찰 (0) | 2022.12.03 |
| 비밀번호가 사라진 시대를 준비하기 (0) | 2022.11.21 |