사이버 보안 전문 매체 블리핑 컴퓨터가 PyPI(파이썬 패키지 인덱스) 저장소에 악성 패키지 3종이 게재되었다고 보도했다.
해당 악성 패키지를 발견한 사이버 보안 기업 포티넷(Fortinet)는 악성 패키지는 ‘Lolip0p’라는 이름의 사용자가 1월 7일부터 12일까지 게재했다고 전했다. Lolip0p가 게재한 악성 패키지는 ‘colorslib,' 'httpslib,' 'libhttps’으로, 세 가지 악성 패키지 모두 개발자 시스템에 정보 탈취 멀웨어를 심을 코드를 포함했다.
또한, 세 가지 악성 패키지에는 다수 개발자가 실제 정상적인 패키지로 믿을 만한 설명이 포함되었다. 포티넷은 세 가지 악성 패키지 모두 다른 프로젝트 명칭을 모방하지는 않았지만, 실제로 안정적이면서 위험성이 없는 코드로 구성되었음을 신뢰할 만한 설명으로 구성됐다.
PyPI는 소프트웨어 개발자가 프로젝트 구성 요소를 소스화할 때 사용하는 파이썬 패키지에서 가장 보편적으로 사용하는 저장소 중 하나이다. 이에, 매체는 해커 세력이 PyPI의 인기를 악용해 개발자나 개발자의 프로젝트를 겨냥하여 멀웨어를 심으려 시도한 것으로 보인다고 분석했다.
PyPI는 모든 패키지 업로드를 면밀히 조사할 자원이 없으므로 사용자 보고서에 의존하여 악의적인 파일을 찾고 제거해야 한다. PyPI 패키지 통계 서비스인 pepy.tech에 따르면, 1월 14일(현지 시각) 기준 colorslib의 다운로드 횟수는 248회, httpslib는 233회, libhttps는 68회를 기록한 뒤 삭제됐다.
그러나 매체는 악성 패키지 다운로드 횟수가 적은 것처럼 보이지만, 공급망의 일부분에 미친 악성 패키지 감염 피해가 심각할 수도 있다고 전했다. 이어, 매체는 PyPI에서 악성 패키지 3가지 모두 삭제된 후 다른 이름으로 같은 악성 패키지를 재업로드한 사실이 확인되었다고 경고했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
