[The Hacker News] Nova Sentinel 악성코드 유포를 위한 휴먼 PyPI 패키지

PyPI 레포지토리의 휴먼 패키지가 정보 유출 악성코드인 Nova Sentinel을 유포하기 위해 이년 만에 업데이트 되었다.

비정상적인 업데이트를 감지한 소프트웨어 공급망 보안 회사인 Phylum에 따르면 django-log-tracker라는 패키지는 2022.04에 처음 배포되었다. (2024년 2월 21일에 감지)

깃허브 레포지토리는 2022.04.10 이후 업데이트되지 않았지만, 악성 업데이트는 개발자의 PyPI 계정이 해킹되었을 가능성을 시사한다.

Django-log-tracker는 3866번 다운로드 되었다. 그 중 악성 버전 (1.0.4)은 107번 다운로드 되었다. 이 패키지는 더 이상 PyPI로 다운로드 받을 수 없다.

"악성 업데이트에서 공격자는 __init__.py, example.py만 제외하고 대부분의 내용을 삭제한다."라고 회사는 말했다.

악성 업데이트의 변경 사항에는 os.startfile() 함수를 실행하여 "Updater_1.4.4_x64.exe"를 remote server("45.88.180[.]54")로 부터 가져와서 실행하는 작업이 포함된다.

업데이트 프로그램에는 Nova Sentinel이 내장되어 있다. Nova Sentinel은 stealer malware로 2023년 11월에 Sekoia에 의해 처음 보고되었다. video game downlads 제공 가짜 사이트로 위장하여 Fake Electron apps 형태로 유포되었다.

"이 케이스에 대해 흥미로운 점은 공격 벡터가 PyPI 계정을 탈취하여 공급망 공격 형태로 나타난 점이다." 라고 Phylum은 말했다.

만약 정말 유명한 패키지였다면, 이 패키지를 의존하는 프로젝트에서 이 악성 버전 패키지로 업데이트했을 수 있다. (지정된 버전이 없을 경우 )