북한해커, 파이썬 오픈소스 공급망 공격 시도

라자러스 그룹 산하 미궁 천리마의 공격으로 분석

(지디넷코리아=남혁우 기자)북한 해커의 오픈소스 저장소를 노린 공급망 공격 시도가 확인됐다.

1일(현지시간) 해커뉴스 등 외신에 따르면 사이버보안기업 리버싱랩스는 파이썬 패키지 인덱스(PyPI)에서 악성코드를 숨긴 파이썬 패키지를 발견했다고 밝혔다.

VM커넥트로 명명한 이 공격은 7월 말 처음 식별됐다. 추적결과 v커넥터를 비롯해 테이블에디터, 리퀘스트 플러스 등 많은 분야에서 사용되는 오픈소스 도구로 위장한 악성패키지가 현재 24개가 확인됐다.

북한 해커의 사이버 공격(이미지=리버싱랩스)

악성 패키지와 페이로드 해독자료를 분석한 결과, 북한 정부 산하 해킹 그룹인 라자루스그룹의 분파인 미궁 천리마의 이전 캠페인과 링크가 확인됐다고 리버싱랩스가 밝혔다.

이번 공격에 쓰인 악성 패키지는 유명한 오픈 소스 패키지와 매우 비슷한 이름과 설명을 악용하는 일명 타이포스쿼팅을 적용했다. 업무에 바쁜 개발자가 패키지를 검색하고 설치할 때 앱 사이의 차이를 알아채지 못하고 악성 패키지를 설치하기를 노려 공격하는 방식이다.

이런 앱은 동적 애플리케이션 보안 테스트(DAST) 도구의 탐지를 피하기 위해 실제 패키지 설명을 재사용해 악성코드가 바로 실행되지 않도록 사용자를 안심시킨 후 특정신호가 호출될 경우에만 실행하도록 개발한다.

또한, 같은 작성자가 같은 날 생성한 깃허브 소스 코드 저장소에 대한 링크를 추가해 사용자에 대한 신뢰를 높였다.

리버싱랩스의 카를로 젠키 리버스 엔지니어는 “PyPI 플랫폼 등 패키지 플랫폼은 매달 수만 건의 문의를 통해 사이버공격에 대한 다양한 변형을 확인했다”며 “오픈소스 저장소의 위협 해결은 자동화된 소스코드 검토와 같은 표준 관행만으로 이뤄질 수 앖는 만큼 지속적인 AI 학습을 할용을 바탕으로 보안을 평가하고 악성 기능 징후를 찾아낼 필요가 있다"고 조언했다.

남혁우 기자(firstblood@zdnet.co.kr)