요약 - PyPI 플랫폼에서 새로운 공급망 공격 시도인 Revival Hijack 적발
- PyPI의 패키지 삭제 관련 정책을 교묘하게 악용
내용 - PyPI 플랫폼에서 22,000개 이상의 패키지에 영향을 미치는 공급망 공격 Revival Hijack 확인
> PyPI에서 개발자가 자신의 패키지를 삭제한 경우, 누구나 동일한 이름으로 패키지를 생성할 수 있음
> 공격자는 이를 악용해 유명 패키지와 동일한 이름을 가진 악성 패키지를 등록
> 관련된 실험을 진행한 결과, PyPI 플랫폼에서는 아무런 경고도 발생하지 않음
기타 - PyPI은 이와 관련된 정책을 검토하는 중
> 해당 정책이 적용되기 전까지 다운로드하는 패키지를 철저히 검사하는 과정 필요

 

보안뉴스

 

PyPI 생태계에서 발견된 악성 캠페인, 패키지 삭제 정책 악용해

보안 외신 핵리드에 의하면 PyPI 플랫폼에서 새로운 공급망 공격 시도가 적발됐다고 한다. 이 캠페인의 이름은 리바이벌하이잭(Revival Hijack)이라고 하며, PyPI의 패키지 삭제 관련 정책을 교묘하게

www.boannews.com

 

New Supply Chain Attack "Revival Hijack" Risks Massive PyPI Takeovers

Follow us on Twitter (X) @Hackread - Facebook @ /Hackread

hackread.com

 

Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk

JFrog’s security research team continuously monitors open-source software registries, proactively identifying and addressing potential malware and vulnerability threats to foster a secure and reliable ecosystem for open-source software development and de

jfrog.com

 

요약 - PyPI은 파이선 프로그래머들이 가장 많이 사용하는 공공 리포지터리
- PyPI에서 “모든 사용자들이 2023년 말까지 이중인증 옵션을 사용하도록 하겠다” 발표
> 중요 프로젝트의 메인테이너 계정들을 침해하여 정상 프로젝트에 악성 코드를 임의로 주입하는 일이 줄어들 수 있음
> 보안 전문가들은 이것만으로 PyPI를 안전하게 사용할 수 있는 건 아니라고 강조
내용 - PyPI의 관리자이자 메인테이너인 도널드 스터프트(Donald Stufft)
> 사용자들의 이중인증 옵션 활성화 여부에 따라 PyPI 일부 기능 사용에 제한이 걸릴 수 있음
> 일부 사용자들을 선택해 이중인증을 미리 사용해 보도록 지정할 수도 있음
> 보안 토큰이나 다른 하드웨어 장비, 혹은 인증 전문 앱을 사용해 이중인증을 이용할 수 있음

- 현재 공격자들은 PyPI에 많은 관심을 보이는 중
> PyPI에서 여러 개발자들이 모여 코드를 공유하기에, 중간에 끼어들어 악성 코드를 집어넣는 데 성공하면 빠른 확산이 가능하기 때문임
> 중요 관리자나 메인테이너의 계정을 침해하여 공격을 진행
> 중요 계정의 소유주들이 이중인증을 사용한다면 계정 침해 공격이 상당히 어려워질 수 있음

- 메인테이너들의 계정을 차지하기 위해 메인테이너들을 겨냥한 피싱 공격은 빠르게 증가 중
> 주입하려는 악성 기능은 주로 크리덴셜 탈취, 브라우저 세션 탈취, 추가 악성 코드 다운로드 및 설치

- 전문가들은 이중인증 제도 도입 외 더 많은 보안 장치들을 겹겹이 구축 필요성 강조
> 타이포스쿼팅 공격 처럼 이중인증 옵션 여부와 관계없이 공격할 수 있는 다양한 방법이 존재
> 관리되지 않는 프로젝트를 탈취한 후 정상 프로젝트로 위장 가능하며, 사례 또한 존재
기타 - 공격자들은 끊임없이 새로운 공격 기법을 연구하고 찾아냄
> 한 가지 방어법으로 플랫폼 전체를 안전하게 만들 수 없는 게 당연
> 소프트웨어 공급망 전체를 아우르는 보안의 방법론이 필요

- 이중인증이라는 보안 기술 자체도 완벽하게 안전을 보장하지 못함
> 심스와핑 공격, OIDC 익스플로잇, 세션하이재킹을 통해 이중인증을 꽤나 준수한 확률로 뚫어낼 수 있으며, 사례 또한 존재

- 리포지터리의 보안 강화를 위한 노력뿐만 아니라 리포지터리를 사용하는 사람들이 보안 실천 사항을 준수해야 함
> 리포지터리의 관리적 보안 수준과 상관 없이 사용자들의 실수와 해이 때문에 사고가 발생하기도 함

 

보안뉴스

 

PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만

파이선 프로그래머들이 가장 많이 사용하는 공공 리포지터리는 PyPI다. 그런데 이 PyPI에서 “모든 사용자들이 2023년 말까지 이중인증 옵션을 사용하도록 하겠다”고 얼마 전 발표했다. 이렇게 했

www.boannews.com

'보안뉴스' 카테고리의 다른 글

제로데이 개념증명용 코드인 줄 알았는데 사실은 멀웨어 외 2건  (0) 2023.06.19
사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들  (0) 2023.06.13
과기정통부, 소프트웨어(SW) 공급망 공격 대응방안 마련한다!  (0) 2023.06.04
北 김수키 해킹조직 관련 韓美 합동 사이버보안 권고  (0) 2023.06.03
구글이 만든 새 최상위 도메인 이름, 보안 업계 비판의 소리 점점 커져  (0) 2023.05.26
개요 - 정체를 알 수 없는 사이버 공격자가 파이토치(PyTorch)라는 머신러닝 프로젝트에 악성 바이너리를 몰래 삽입
- 악성 프로젝트를 PyPI에 등록 후 파이토치와 관련된 누군가가 12월 25 ~ 30일 사이에 이를 다운로드
내용 - 공격자들이 디펜던시 혼동 공격(dependency confusion attack)을 실시
디펜던시 혼동 공격
소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함
> 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것

- 공격자들은 torchtriton이라는 이름의 악성 패키지를 만들어 PyPI에 등록
- torchtriton은 파이토치 프로젝트와 관련이 있는 코드 라이브러리
- 악성 패키지에는 torchtriton의 여러 기능이 똑같이 포함 + 훔친 데이터를 특정 도메인에 업로드하는 기능
- 피해자의 시스템 정보, 사용자 이름, 환경 변수, 피해자의 시스템과 연결된 모든 호스트, 비밀번호 해시 목록, 피해자의 홈 디렉토리에 저장된 파일 1천 개를 훔쳐가는 것으로 조사

- PyPI를 노리는 공격 시도는 크게 증가
> PyPI는 파이썬 생태계에서 중요한 위치에 있으며, 같은 이름의 패키지 등록이 가능함

- PyPI 리포지터리는 공공 리포지터리에 있는 패키지가 비공개 리포지터리에 있는 패키지보다 우선 검색 및 로딩
> torchtriton은 파이토치 프로젝트 개발자들이 프로젝트의 비공개 리포지터리에서부터 로딩
> 누군가 파이토치 내부 패키지 이름을 정확하게 알아냈다는 것을 의미
결론 - 파이토치 측은 문제를 발견하자마자 즉시 악성 패키지가 아니라 정상 패키지로 연결되도록 조치 및  torchtriton과 관련이 있는 모든 빌드들을 삭제

- 25일부터 30일 사이에 계속 파이토치로 작업을 했다면 침해의 증거가 직접적으로 존재하지 않더라도 새로운 SSH 키 값들을 생성해 활용하는 게 안전

- 12월 29일, 보안 전문가가 디펜던시 혼동 공격을 조사하며 실험하는 과정 중에 발생한 실수 게시글 업로드

 

- 보안뉴스

 

PyPI 통한 공급망 공격이 성공하여 파이토치에까지 멀웨어 심겨져

정체를 알 수 없는 사이버 공격자가 파이토치(PyTorch)라는 머신러닝 프로젝트에 악성 바이너리를 몰래 삽입하는 데 성공했다. 이들은 먼저 악성 프로젝트를 PyPI에 등록시켰는데 파이토치와 관련

www.boannews.com

'보안뉴스' 카테고리의 다른 글

[긴급] 중국 해커조직, 한국 정부·공공기관 타깃 대규모 해킹 작전 선포 외 10건  (0) 2023.01.27
노턴 라이프락 계정에 대한 크리덴셜 스터핑 공격, 통했다  (0) 2023.01.16
엔드포인트 솔루션 무력화시키는 새로운 공격 기법, 블라인드사이드  (0) 2022.12.22
북 해커조직 APT37, 만능 기능 ‘돌핀’ 백도어로 남한 정찰  (0) 2022.12.03
비밀번호가 사라진 시대를 준비하기  (0) 2022.11.21

+ Recent posts

티스토리툴바