사이버보안 연구원들은 Python Package Index(PyPI) 저장소에서 새로운 악성 패키지를 발견했습니다. 이 패키지는 솔라나 블록체인 플랫폼의 라이브러리인 것처럼 위장했지만, 실제로는 피해자의 비밀을 훔치도록 설계되었습니다.
“합법적인 Solana Python API 프로젝트는 GitHub에서는 ‘solana-py’로 알려져 있지만, Python 소프트웨어 레지스트리인 PyPI에서는 간단히 ‘solana’라고 불립니다.” Sonatype 연구원 Ax Sharma가 지난주에 발표한 보고서에서 말했습니다. “이 사소한 명명 불일치는 PyPI에 ‘solana-py’ 프로젝트를 게시한 위협 행위자에 의해 악용되었습니다.”
악성 “solana-py” 패키지는 2024년 8월 4일에 공개된 이후로 총 1,122회 다운로드되었습니다. 더 이상 PyPI에서 다운로드할 수 없습니다.
라이브러리의 가장 눈에 띄는 측면은 버전 번호 0.34.3, 0.34.4, 0.34.5를 가지고 있다는 것입니다. 합법적인 “solana” 패키지의 최신 버전은 0.34.3입니다. 이는 위협 행위자가 “solana”를 찾는 사용자를 속여 실수로 “solana-py”를 대신 다운로드하도록 하려는 시도를 분명히 나타냅니다.
더욱이, 악성 패키지는 대응 패키지에서 실제 코드를 빌려오지만, 시스템에서 Solana 블록체인 지갑 키를 수집하는 “__init__.py” 스크립트에 추가 코드를 삽입합니다.
그런 다음 이 정보는 위협 행위자가 운영하는 Hugging Face Spaces 도메인(“treeprime-gen.hf(.)space”)으로 유출됩니다. 이는 위협 행위자가 악의적인 목적으로 합법적인 서비스를 남용하고 있다는 것을 다시 한 번 보여줍니다.
이 공격 캠페인은 Sonatype의 조사에 따르면 “solders”와 같은 합법적인 라이브러리가 PyPI 문서에서 “solana-py”를 참조한다는 점에서 공급망 위험을 초래합니다. 이로 인해 개발자가 실수로 PyPI에서 “solana-py”를 다운로드하여 공격 표면을 넓힐 수 있는 시나리오가 발생했습니다.
“다시 말해, 애플리케이션에서 합법적인 ‘solders’ PyPI 패키지를 사용하는 개발자가 (solders의 문서에 의해) 오도되어 타이포스쿼팅된 ‘solana-py’ 프로젝트에 속게 되면, 실수로 애플리케이션에 암호화폐 도용범을 유입하게 됩니다.” 샤르마가 설명했습니다.
“이렇게 하면 개발자의 비밀뿐만 아니라 개발자의 애플리케이션을 실행하는 모든 사용자의 비밀도 훔칠 수 있습니다.”
Phylum은 레지스트리에서 Tea 프로토콜 남용 마커를 포함한 수십만 개의 스팸 npm 패키지를 발견했다고 밝혔으며, 이 캠페인은 2024년 4월에 처음 알려졌습니다.
“Tea 프로토콜 프로젝트는 이 문제를 해결하기 위한 조치를 취하고 있습니다.” 공급망 보안 회사가 말했습니다. “다른 사람들이 시스템을 사기치고 있기 때문에 Tea 프로토콜의 합법적인 참여자들의 보수가 감소하는 것은 불공평할 것입니다. 또한 npm은 이러한 스패머 중 일부를 제거하기 시작했지만, 제거율은 새로운 게시율과 일치하지 않습니다.”