2024-04-17 04:55 (수)
리눅스 기기에 암호화폐 채굴기 유포하는 악성 패키지 3개 발견
상태바
리눅스 기기에 암호화폐 채굴기 유포하는 악성 패키지 3개 발견
  • 길민권 기자
  • 승인 2024.01.05 17:32
이 기사를 공유합니다

최근 포티넷 포티가드랩의 사이버 보안 연구원들이 PyPI(파이선 패키지 인덱스) 오픈소스 저장소에서 리눅스 기기에 암호화폐 채굴기를 배포하는 기능을 갖고 있는 신종 악성 패키지 3개를 발견했다.

모듈세븐, 드리프트미, 캣미라(modularseven, driftme, catme)는 이름의 이 악성 패키지는 지난 한 달 동안 총 431건의 다운로드를 유도한 후 즉시 제거되었다.

조사 결과, 이 패키지가 처음 사용되었을 때 리눅스 디바이스에 코인마이너 실행 파일을 배포하는 것으로 밝혀졌다. 악성코드는 원격 서버에서 첫 번째 단계를 디코딩하고 검색하는 init.py 파일 내에 숨겨져 있다. 이 초기 단계에는 채굴 활동을 위한 구성 파일을 가져오는 셸 스크립트("unmi.sh")와 깃허브에서 호스팅되는 코인마이너 파일을 포함한다.

검색이 완료되면 nohup 명령을 사용해 백그라운드에서 ELF 바이너리 파일을 실행해 사용자가 세션을 종료한 후에도 프로세스가 지속되도록 한다. 특히, 이 수법은 컬처스트릭(culturestreak)이라는 패키지를 사용해 암호화폐 채굴기를 배포한 이전 캠페인과 유사하다.

이 멀웨어는 은밀성과 지속성을 강화하기 위해 ~/.bashrc 파일에 악성 명령을 삽입해 사용자 디바이스에서 다시 활성화되도록 한다. 이러한 전략적 움직임은 은밀한 작전을 장기화해 공격자가 손상된 디바이스를 익스플로잇할 수 있는 기간을 연장하는 것을 목표로 한다.

또한 이 패키지는 셸 스크립트 내에 악의적인 의도를 숨기는 추가 단계를 보여준다. 이 추가 단계는 보안 소프트웨어의 탐지를 회피하는 데 기여해 익스플로잇 과정을 더 길고 어렵게 만든다.

■사용자와 개발자를 위한 권고 사항

개발자는 정기적으로 종속성을 검토하고 업데이트해 프로젝트에 사용되는 패키지가 안전하고 최신 상태인지 확인해야 한다.

또 새 패키지를 통합하기 전에 해당 패키지의 인기도와 이력을 고려해야 한다. 사용자 수가 많고 긍정적인 리뷰가 있는 패키지는 더 신뢰할 수 있다.

그리고 보안 검사 도구를 사용해 코드와 종속성을 분석해 잠재적인 취약점을 파악하는 것이 중요하다. 이를 통해 악성 패키지의 포함 여부를 탐지하고 방지할 수 있다.

최근의 위협과 공격 벡터에 대한 지식은 개발자와 사용자가 사전 조치를 취할 수 있도록 하기 때문에 항상 관련 정보를 빠르게 수집하는 것이 중요하다.

특히 잠재적인 위협을 탐지하고 완화하기 위해 바이러스 백신과 침입 탐지 시스템을 포함한 엔드포인트 보안 조치를 강화해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★