사용자의 핸드폰으로 스팸 문자가 오는 것을 경험한 사람들이 많을 것이다. 이번엔 python을 사용하는 사람들이 자주 이용하는 PyPI에 스팸으로 보이는 불법 패키지들이 넘쳐나고 있다. 이러한 패키지들은 일반적으로 토렌트 및 불법 복제 콘텐츠를 호스팅하는 "warez" 사이트와 관련된 형식의 영화 제목을 따서 명명되었다. 더구나 각 패키지들은 각각 고유한 가명 관리자 계정에 의해 게시되었기 때문에 PyPI가 패키지와 스팸 계정을 한번에 제거하기가 어려운 상황이다.

 

이 불법 패키지들은 IT 개발사 Snonatype의 소프트웨어 엔지니어인 Adam Boesch가 발견했다. "데이터 세트를 살펴보니 패키지 이름이 좀 특이한 'wandavision'을 발견했습니다" 라고 말했다.

 

 

 

[그림 1. 몇 주전에 일어났던 PyPI 저장소 스팸 패키지들]

 

 

이러한 패키지 중 일부는 몇 주전에 게시되었으나 패키지 중 몇 개는 최근에 게시 되었던 것으로 확인되었다. 지금까지 추정된 불법 패키지 수는 10000개로 추정하고 있으나 이 수치도 정확하지 않다. PyPI 저장소에 표시되는 실제 스팸 패키지 수가 훨씬 적게 나타나기 때문이다.

 

 

 

[그림 2. 최근에도 올라오고 있는 스팸 패키지]

 

 

이러한 가짜 패키지의 웹 페이지에는 적법성이 우려되는 영화 스트리밍 사이트 링크가 포함되어 있다.

 

현재 PyPI 관리자가 스팸 공격을 해결하기 위해 노력하고 있지만 해결에 난황이 보일 것으로 예측된다. 앞서 언급했듯이, 각 패키지들이 각 관리자 계정에 의해 게시되고 있고 pypi[.]org의 특성상 누구나 저장소에 게시할 수 있으며 더구나 악의적인 행위자가 합법적인 패키지의 코드를 가짜 악성 패키지와 결합하여 악성 패키지의 탐지를 어렵게 만들 수 있기 때문이다 .

 

 

 

[그림 3.  스팸 패키지 내부, 실제 정상 코드가 삽입되어 있는 형태]

 

 

Boesch는 패키지를 사용하기 전에 항상 패키지를 조사해보고 사용할 것을 권장했다. 최근 몇 달 동안 npm, RubyGems 및 PyPI와 같은 오픈 소스 생태계를 겨냥한 공격이 확대되고 있기 때문이다.

 

 

출처

https://www.bleepingcomputer.com/news/security/spammers-flood-pypi-with-pirated-movie-links-and-bogus-packages/