PyPi 맬웨어 감지: Discord 토큰을 도용하여 맬웨어 확산

이달 초, 보안 연구원들은 사용자의 자격 증명, 앱의 쿠키 및 기록을 비롯한 기타 민감한 데이터를 탈취하는 PyPi 악성코드를 식별했습니다. 연구 데이터에 따르면 적들은 대규모 오픈 소스 Python 패키지 저장소인 Python 패키지 인덱스(PyPI)에 악성 패키지를 업로드하는 것으로 나타났습니다. 목표는 사용자를 속여 가짜 기능 및 Roblox 도구를 제공하여 다운로드하게 하는 것입니다. 실제로 악성코드는 저장된 데이터를 탈취하려고 시도합니다. 실행되면 Google Chrome, Firefox, Opera와 같은 브라우저를 대상으로 하며, Discord를 손상시켜 앱의 프로세스에 지속적인 악성 에이전트를 주입합니다.

PyPi 악성코드 감지

조직이 인프라를 보다 잘 보호할 수 있도록 돕기 위해, 우리의 예리한 위협 바운티 개발자인 Aytek Aytemur 은 최근 PyPi 악성코드 감지를 용이하게 하는 전용 Sigma 규칙을 발표했습니다. 보안 팀은 SOC Prime의 Detection as Code 플랫폼에서 이를 비롯한 다른 관련 규칙을 다운로드할 수 있습니다:

New PyPi Malware (via process_creation)

이 규칙은 변장(T1036)과 예약된 작업/작업(T1053)을 주요 기법으로 사용하는 방어 회피 및 실행 전술을 다루며 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있습니다.

SOC Prime Platform에서 보기 버튼을 눌러 방대한 사이버 위협 탐지 콘텐츠 라이브러리에 액세스하세요. 모든 규칙은 MITRE ATT&CK 프레임워크에 맵핑되어 철저히 관리 및 검증되었습니다. 조직의 보안 데이터를 보다 효율적으로 정밀 탐색하려는 SOC 전문가들은 위협 사냥, 위협 탐지 및 사이버 위협 인텔리전스에 대한 업계 최초의 검색 엔진의 이점을 활용할 수 있습니다. 도구를 사용해 보려면 검색 엔진으로 드릴 다운 버튼을 누르세요.

보기 검색 엔진으로 드릴 다운

Pypi 악성 코드 분석

PyPi는 대규모 및 소규모 조직 모두에게 인기 있는 오픈 소스 저장소입니다. 위협 행위자들은 수백만 사용자가 이용하는 플랫폼의 인기를 악용하여 마치 파이썬 기반 프로젝트에 유용한 진짜 제안처럼 보이는 악성 패키지를 배포합니다.

저장소를 출발점으로 사용하는 공격의 현재 물결 속에서, 적들은 그들의 악성코드를 심기 위해 다양한 접근 방식을 사용합니다. Windows 호스트를 목표로 한 악성 패키지 배포의 경우, 활성화된 악성코드는 사용 가능한 데이터를 탈취하고 Discord 리소스를 가로채 더 많은 실행 파일을 다운로드하는 데 사용됩니다. 무기화된 패키지의 이름은 다음과 같습니다: Free-net-vpn 및 Free-net-vpn2, Test-async, Ascii2text, Pyg-utils, Pymocks, PyProto2, Zlibsrc, WINRPCexploit, Browserdiv. 연구원들은 비록 저장소에서 제거되었지만 많은 사용자가 여전히 시스템 내에 패키지를 보관하고 있을 수 있다고 경고합니다.

PyPI를 활용하여 정교한 위협을 배포하는 적들의 보고가 최근에 쌓이고 있습니다. 희생자 시스템을 감염시키는 전통적인 방법으로서의 암호화폐 채굴기의 불법 심기가 현재 증가하고 있습니다.

SOC Prime은 기업들이 뚫기 어려운 시스템 보호를 지속할 수 있도록 돕는 필수적인 솔루션을 제공합니다. 업계 리더들과 힘을 합쳐 Sigma 및 YARA 규칙을 공유하여 세상을 안전하게 만드는 데 기여하고 싶으신가요? 위협 바운티 프로그램에 참여하여 귀중한 기여로 재발 보상을 받으세요!