[PyCon Korea 2024] Lightning Talk: PyPI패키지를 의심하세요

Transcript

1. AI Enterprise AI Cloud AI Open Source AI MLOps Pypi패키지를

   의심하세요 생각외로 악성패키지가 많이 올라옵니다 성대현​([email protected])

2. • Pypi(Python Package Index) o https://pypi.org/ o 누구나 쉽게 패키지를

   업로드 할 수 있음 o 특정 사용자가 악의적인 목적으로 악성 코드를 배포할 수 있는 위험성 존재 o Pypi패키지에서 보안 검사와 모니터링을 강화하고 있지만 여전히 실존하는 위험 o 지속적인 주의와 관리가 필요 Pypi 저장소 관련 보안 문제

3. • 실제 사례: aiotoolsbox (현재 삭제됨) o Detecting Malicious Packages

   on PyPI: Malicious package on PyPI use phishing techniques to hide its malicious intent ▪ https://blog.checkpoint.com/2023/03/18/detecting-malicious-packages-on-pypi-malicious-package-on-pypi-use- phishing-techniques-to-hide-its-malicious-intent/ o 피싱 기법을 이용하여 악성코드를 숨기고 있음 Pypi 저장소의 보안 문제 사례(1)

4. • pycryptoconf – 북한 해커그룹 라자루스 그룹에서 만든 패키지 (현재

   삭제됨) o New Malicious PyPI Packages used by Lazarus ▪ https://blogs.jpcert.or.jp/en/2024/02/lazarus_pypi.html o pycryptoconf-1.0.6.tar.gz sha256 hash: 956d2ed558e3c6e447e3d4424d6b14e81f74b63762238e84069f9a7610aa2531 o Virustotal: ▪ https://www.virustotal.com/gui/file/956d2ed558e3c6e447e3d4424d6b14e81f74b63762238e84069f9a7610aa2531 Pypi 저장소의 보안 문제 사례(2)

5. • Pypi 저장소에서 악성 코드가 탐지된 패키지의 예 o 대다수는

   악성코드를 탐지하고 분석하는 패키지, 해킹툴(Hacking tools) 관련 패키지 ▪ Cuckoo, androbane o 오탐(False Positive)의 경우도 존재함 o 실제 악성코드가 탐지되어 "yanked" flag가 붙은 사례 (pypi.org에서 다운로드는 가능함) ▪ py7zr Pypi 저장소의 악성 코드 탐지 예

6. • Pypi 사용자가 늘어남에 따라 악의적인 공격 시도가 늘어나고 있음

   • 엔터프라이즈에서 Pypi패키지를 사용하려면 검증을 해야함 • 참고 자료 o 일본 침해대응센터, 북한의 라자루스가 공급망 공격을 한다고 경고 https://www.boannews.com/media/view.asp?idx=127611&page=1&kind=1 o Japan Blames North Korea for PyPI Supply Chain Cyberattack https://www.darkreading.com/application- security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack o Detecting Malicious Packages on PyPI: Malicious package on PyPI use phishing techniques to hide its malicious intent https://blog.checkpoint.com/2023/03/18/detecting-malicious-packages-on-pypi-malicious- package-on-pypi-use-phishing-techniques-to-hide-its-malicious-intent/ o New Malicious PyPI Packages used by Lazarus https://blogs.jpcert.or.jp/en/2024/02/lazarus_pypi.html 결론

7. AI Enterprise AI Cloud AI Open Source AI MLOps 감사합니다

   [email protected] https://www.facebook.com/lablupInc Lablup Inc. Backend.AI Backend.AI GitHub Backend.AI Cloud https://www.lablup.com https://www.backend.ai https://github.com/lablup/backend.ai https://cloud.backend.ai