Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

[PyCon Korea 2024] Lightning Talk: PyPI패키지를 의심하세요

[PyCon Korea 2024] Lightning Talk: PyPI패키지를 의심하세요

[PyCon Korea 2024] Lightning Talk: Suspect the PyPI packages
[PyCon Korea 2024] Lightning Talk: PyPI패키지를 의심하세요
생각외로 악성 패키지가 많이 올라옵니다

회사 업무로 PyPI 패키지를 조사하다 발견한 악성 패키지 이슈에 대해서 PyCon Korea 2024 첫날(Day1)에 라이트닝토크로 짧게 소개하였습니다.

결론1: PyPI사용자가 늘어남에 따라 악의적인 공격 시도가 늘어나고 있음
결론2: 엔터프라이즈에서 PyPI패키지를 사용하려면 검증을 해야함

DaeHyun Sung

October 26, 2024
Tweet

More Decks by DaeHyun Sung

Other Decks in Technology

Transcript

  1. AI Enterprise AI Cloud AI Open Source AI MLOps Pypi패키지를

    의심하세요 생각외로 악성패키지가 많이 올라옵니다 성대현​([email protected])
  2. • Pypi(Python Package Index) o https://pypi.org/ o 누구나 쉽게 패키지를

    업로드 할 수 있음 o 특정 사용자가 악의적인 목적으로 악성 코드를 배포할 수 있는 위험성 존재 o Pypi패키지에서 보안 검사와 모니터링을 강화하고 있지만 여전히 실존하는 위험 o 지속적인 주의와 관리가 필요 Pypi 저장소 관련 보안 문제
  3. • 실제 사례: aiotoolsbox (현재 삭제됨) o Detecting Malicious Packages

    on PyPI: Malicious package on PyPI use phishing techniques to hide its malicious intent ▪ https://blog.checkpoint.com/2023/03/18/detecting-malicious-packages-on-pypi-malicious-package-on-pypi-use- phishing-techniques-to-hide-its-malicious-intent/ o 피싱 기법을 이용하여 악성코드를 숨기고 있음 Pypi 저장소의 보안 문제 사례(1)
  4. • pycryptoconf – 북한 해커그룹 라자루스 그룹에서 만든 패키지 (현재

    삭제됨) o New Malicious PyPI Packages used by Lazarus ▪ https://blogs.jpcert.or.jp/en/2024/02/lazarus_pypi.html o pycryptoconf-1.0.6.tar.gz sha256 hash: 956d2ed558e3c6e447e3d4424d6b14e81f74b63762238e84069f9a7610aa2531 o Virustotal: ▪ https://www.virustotal.com/gui/file/956d2ed558e3c6e447e3d4424d6b14e81f74b63762238e84069f9a7610aa2531 Pypi 저장소의 보안 문제 사례(2)
  5. • Pypi 저장소에서 악성 코드가 탐지된 패키지의 예 o 대다수는

    악성코드를 탐지하고 분석하는 패키지, 해킹툴(Hacking tools) 관련 패키지 ▪ Cuckoo, androbane o 오탐(False Positive)의 경우도 존재함 o 실제 악성코드가 탐지되어 "yanked" flag가 붙은 사례 (pypi.org에서 다운로드는 가능함) ▪ py7zr Pypi 저장소의 악성 코드 탐지 예
  6. • Pypi 사용자가 늘어남에 따라 악의적인 공격 시도가 늘어나고 있음

    • 엔터프라이즈에서 Pypi패키지를 사용하려면 검증을 해야함 • 참고 자료 o 일본 침해대응센터, 북한의 라자루스가 공급망 공격을 한다고 경고 https://www.boannews.com/media/view.asp?idx=127611&page=1&kind=1 o Japan Blames North Korea for PyPI Supply Chain Cyberattack https://www.darkreading.com/application- security/japan-blames-north-korea-for-pypi-supply-chain-cyberattack o Detecting Malicious Packages on PyPI: Malicious package on PyPI use phishing techniques to hide its malicious intent https://blog.checkpoint.com/2023/03/18/detecting-malicious-packages-on-pypi-malicious- package-on-pypi-use-phishing-techniques-to-hide-its-malicious-intent/ o New Malicious PyPI Packages used by Lazarus https://blogs.jpcert.or.jp/en/2024/02/lazarus_pypi.html 결론
  7. AI Enterprise AI Cloud AI Open Source AI MLOps 감사합니다

    [email protected] https://www.facebook.com/lablupInc Lablup Inc. Backend.AI Backend.AI GitHub Backend.AI Cloud https://www.lablup.com https://www.backend.ai https://github.com/lablup/backend.ai https://cloud.backend.ai