본문 바로가기
IT 소식/해킹 & 보안

PyPI 악성 패키지 유포 사건: DeepSeek 사칭 공격 분석

$ecu_Log 2025. 2. 6.
기사 출처 : 데일리시큐 - https://www.dailysecu.com/news/articleView.html?idxno=163434

 

 

1. 사건 개요

사이버 범죄자들은 인공지능 스타트업 DeepSeek의 인기를 악용하여, 해당 기업의 개발 도구로 위장한 악성 패키지를 PyPI에 업로드하였습니다. 해당 패키지들은 실제로는 인포스틸러(InfoStealer) 유형의 악성코드로, 사용자 시스템 정보를 탈취하는 기능을 수행한 것으로 확인

  • 공격 대상: PyPI를 통해 라이브러리를 다운로드하는 개발자
  • 악성 패키지: deepseeek, deepseekai
  • 배포 방식: 오픈소스 패키지 공유 플랫폼(PyPI)
  • 공격 목적: API 키, 데이터베이스 접근 정보, 인프라 접근 토큰 등의 탈취

 

2. 공격 전개

공격자는 소프트웨어 공급망 공격(Supply Chain Attack) 기법을 활용하여 악성 패키지를 배포

  1. 공격 준비
    • 2023년 6월에 신규 PyPI 계정을 생성하여 신뢰성을 높이기 위해 일정 기간 동안 활동 없이 유지함
    • 이후, 유명 스타트업인 DeepSeek과 유사한 이름을 사용한 패키지(deepseeek, deepseekai)를 생성
  2. 악성 패키지 배포
    • 해당 패키지는 일반적인 AI 관련 도구처럼 보이도록 설명을 작성하여, 개발자들이 다운로드하도록 유도
    • 패키지를 설치하면 악성 코드가 실행되며, 사용자 시스템의 환경 변수를 수집하여 민감한 정보를 추출
  3. 정보 탈취 및 전송
    • 환경 변수(Environment Variables) 접근: API 키, 인증 토큰, 데이터베이스 비밀번호 등의 민감한 정보를 가져옴.
    • Pipedream을 이용한 데이터 전송
      • 공격자는 탈취한 데이터를 Pipedream이라는 자동화 플랫폼을 통해 자신의 서버로 전송
      • Pipedream은 클라우드 기반 자동화 서비스로, 다양한 데이터 스트림을 처리할 수 있어 공격자가 이를 악용

 

3. 피해

연구진이 해당 패키지를 발견한 후 PyPI 관리자가 해당 패키지를 삭제했지만, 이미 다수의 개발자가 다운로드한 것으로 확인되었다고 합니다.

  • 다운로드 횟수: 222회
  • 국가별 피해자 수
    • 미국: 117명
    • 중국: 36명
    • 러시아, 독일, 홍콩, 캐나다 등에서 추가 피해 발생

탈취된 정보는 주로 개발자들의 API 키, 인증 토큰, 클라우드 서비스 접근 정보로, 이로 인해 기업 및 개인 프로젝트가 위험에 노출될 가능성이 있습니다.

 

4. 대응 조치

보안 연구진은 피해를 본 개발자들에게 다음과 같은 조치를 권고하였습니다

  • 즉시 API 키 및 인증 토큰 변경:
    • 환경 변수에 저장된 모든 민감한 정보를 새롭게 생성하고 교체
  • 클라우드 및 인프라 보안 점검:
    • AWS, GCP, Azure 등의 클라우드 계정이 침해되지 않았는지 점검
  • 개발 환경 보안 강화:
    • 서드파티 패키지를 설치하기 전, 출처를 반드시 확인할 것
    • 신뢰할 수 없는 PyPI 패키지는 설치 전에 코드 분석 수행.
    • 최신 보안 솔루션 도입 및 정기적인 보안 점검 실행

 

5. 원인 분석

  1. 소프트웨어 공급망 공격(Supply Chain Attack)
    • 공격자는 개발자들이 PyPI에서 패키지를 다운로드할 때 세부 내용을 면밀히 확인하지 않는 점을 악용
    • 유명 AI 스타트업과 유사한 이름을 사용하여 신뢰성을 높이고, 공격 대상이 무심코 패키지를 설치하도록 유도
  2. 환경 변수 탈취 공격
    • 환경 변수(Environment Variables)는 애플리케이션 실행 중 중요한 정보를 저장하는 영역으로, API 키, DB 접근 정보, 인증 토큰 등이 포함될 수 있음.
    • 공격자는 os.environ 같은 Python 내장 함수를 이용해 환경 변수 정보를 가져오고, 이를 탈취하여 외부 서버로 전송
  3. Pipedream을 이용한 C2 서버 구축
    • Pipedream은 API 연동 및 자동화를 위한 클라우드 플랫폼으로, 공격자는 이를 활용해 데이터를 공격자의 서버로 전송
    • 보통 C2(Command and Control) 서버는 공격자가 직접 운영하는데, Pipedream 같은 합법적인 서비스를 활용하면 탐지가 어려워짐

 

저작자표시 비영리 변경금지

'IT 소식 > 해킹 & 보안' 카테고리의 다른 글

구글플레이 속 악성 안드로이드 앱?  (1) 2025.03.29
딥시크 iOS 앱의 보안 취약점 및 위험성  (0) 2025.02.11
삼성 스마트폰 보안 취약점 발견  (1) 2025.01.14
사칭 피싱 공격 주의: 최신 수법과 예방법  (1) 2025.01.06

'IT 소식/해킹 & 보안' 관련글

티스토리툴바