사이버보안 연구원들은 npm과 Python Package Index(PyPI) 저장소에서 감염된 시스템에서 데이터를 훔치고 심지어 민감한 데이터를 삭제할 수 있는 기능이 포함된 악성 패키지 세 세트를 식별했다.   식별된 패키지 목록은 아래와 같다. @async-mutex/mutex, a typosquat of async-mute (npm) dexscreener, 분산형 거래소(DEX)에서 유동성 풀 데이터를 액세스하고 DEX Screener 플랫폼과 상호작용할 수 있는 라이브러리인 것처럼 가장하는 패키지 solana-transaction-toolkit (npm) solana-stable-web-huks (npm) cschokidar-next, a typosquat of chokidar (npm) achokidar-next, a typosquat of chokidar (npm) achalk-next, a typosquat of chalk (npm) csbchalk-next, a typosquat of chalk (npm) cschalk, a typosquat of chalk (npm) pycord-self, a typosquat of discord.py-self (PyPI) 이러한 패키지를 발견한 공급망 보안 회사는 처음 네 개의 패키지가 solana 개인 키를 가로채서 Gmail의 SMTP (Simple Mail Transfer Protocol) 서버를 통해 전송하도록 설계되었으며, 이는 피해자의 지갑을 비우는 것이 목적일 가능성이 높다고 밝혔다.   특히 solana-transaction-toolkit과 solana-stable-web-huks 패키지는 프로그래밍 방식으로 지갑을 고갈시키고, 지갑 내용의 최대 98%를 공격자가 제어하는 Solana 주소로 자동 전송하면서 Solana에만 특화된 기능을 제공한다고 주장한다.   보안 연구원은 "Gmail은 신뢰할 수 있는 이메일 서비스이기 때문에 이러한 침출 시도가 smtp.gmail.com을 합법적인 트래픽으로 처리하는 방화벽이나 엔드포인트 감지 시스템에 의해 플래그가 지정될 가능성이 낮다." 라고 말했다.   보안회사는 solana-transaction-toolkit과 solana-stable-web-huks의 배후에 있는 위협 행위자가 게시한 두 개의 GitHub 저장소를 발견했다고 밝혔다.    이 저장소는 Solana 개발 도구나 일반적인 DeFi 워크플로를 자동화하는 스크립트가 들어 있다고 주장하지만 실제로는 위협 행위자의 악성 npm 패키지를 가져온다.       [그림 1. 악성 npm 패키지 목록]     이 저장소와 연결된 GitHub 계정인 "moonshot-wif-hwan"과 "Diveinprogramming"은 더 이상 접근할 수 없다.   보안 연구원은 "위협 행위자의 GitHub 저장소에 있는 스크립트인 moonshot-wif-hwan/pumpfun-bump-script-bot은 인기 있는 Solana 기반 DEX인 Raydium에서 거래하는 봇으로 홍보되지만, 대신 solana-stable-web-huks 패키지에서 악성 코드를 가져온다." 라고 말했다.   악성 GitHub 저장소를 사용한 것은 공격자가 npm을 넘어 Microsoft가 소유한 코드 호스팅 플랫폼에서 Solana 관련 도구를 검색하는 개발자를 대상으로 더 광범위한 캠페인을 벌이려는 시도를 잘 보여준다.   두 번째 npm 패키지는 프로젝트별 디렉토리의 모든 파일을 재귀적으로 삭제하는 "킬 스위치" 기능을 통합하여 악의적인 기능을 한 단계 더 끌어올렸을 뿐만 아니라 어떤 경우에는 환경 변수를 원격 서버로 빼내기도 했다.   위조된 csbchalk-next 패키지는 타이포스쿼팅된 chokidar 버전과 동일하게 기능하며, 유일한 차이점은 서버에서 코드 "202"를 받은 후에만 데이터 삭제 작업을 시작한다는 것이다.   반면, Pycord-self는 Discord API를 프로젝트에 통합하여 Discord 인증 토큰을 수집하고 Windows 및 Linux 시스템에 설치 후에도 지속적인 백도어 액세스를 위해 공격자가 제어하는 서버에 연결하려는 Python 개발자를 골라낸다.   이러한 발전은 악의적인 행위자들이 Skuld와 Blank-Grabber와 같은 오픈소스 스틸러 맬웨어를 사용하여 데이터 도용을 용이하게 하도록 설계된 사기성 라이브러리로 Roblox 사용자를 표적으로 삼고 있는 가운데 이루어졌다.    한 보안 회사는 작년에 게임 치트와 모드를 찾는 Roblox 플레이어도 동일한 페이로드를 다운로드하도록 속이는 가짜 PyPI 패키지의 표적이 되었다고 밝혔다.         출처   https://thehackernews.com/2025/01/hackers-deploy-malicious-npm-packages.html

    새로운 연구에 따르면 여러 터널링 프로토콜 의 보안 취약점이 발견됐으며, 공격자는 이를 악용해 광범위한 공격을 수행할 수 있다.   보안 연구소는 여러 연구자와 협력하여 "발신자의 신원을 확인하지 않고 터널링 패킷을 허용하는 인터넷 호스트는 익명의 공격을 수행하고 네트워크에 접근할 수 있도록 하이재킹될 수 있다." 라고 밝혔다.   VPN 서버, ISP 홈 라우터, 핵심 인터넷 라우터, 모바일 네트워크 게이트웨이, 콘텐츠 전송 네트워크(CDN) 노드를 포함하여 420만 개의 호스트가 공격에 취약한 것으로 나타났다.    중국, 프랑스, 일본, 미국, 브라질이 가장 많은 영향을 받은 국가 목록의 상위에 올랐다.   이러한 단점을 성공적으로 악용하면 적대자는 취약한 시스템을 일방적 프록시로 남용하고 서비스 거부(DoS) 공격을 수행할 수 있다.   CERT 조정 센터(CERT/CC)는 자문에서 "적대자는 이러한 보안 취약성을 악용하여 단방향 프록시를 생성하고 소스 IPv4/6 주소를 스푸핑할 수 있다." 라고 밝혔다.   "취약한 시스템은 조직의 개인 네트워크에 대한 액세스를 허용하거나 DDoS 공격을 수행하는 데 악용될 수도 있다."   이러한 취약점은 주로 두 개의 연결되지 않은 네트워크 간 데이터 전송을 원활하게 하는 데 사용되는 IP6IP6, GRE6, 4in6, 6in4와 같은 터널링 프로토콜이 인터넷 프로토콜 보안(IPsec)과 같은 적절한 보안 프로토콜 없이는 트래픽을 인증 및 암호화하지 않는다는 사실에 기인한다.   추가 보안 가드레일이 없으면 공격자가 터널에 악성 트래픽을 주입할 수 있는 시나리오가 발생하는데, 이는 2020년에 플래그가 지정된 결함(CVE-2020-10136)의 변형이다.   해당 프로토콜에 대해 다음 CVE 식별자가 지정되었다. CVE-2024-7595(GRE 및 GRE6) CVE-2024-7596(Generic UDP Encapsulation) CVE-2025-23018(IPv4-in-IPv6 및 IPv6-in-IPv6) CVE-2025-23019(IPv6-in-IPv4) 보안 연구원은 "공격자는 영향을 받는 프로토콜 중 하나를 사용하여 캡슐화된 패킷을 두 개의 IP 헤더와 함께 보내기만 하면 된다." 라고 설명했다.   "외부 헤더에는 공격자의 소스 IP가 포함되고 취약한 호스트의 IP가 목적지로 포함된다. 내부 헤더의 소스 IP는 공격자의 IP가 아니라 취약한 호스트 IP이고 목적지 IP는 익명 공격의 대상의 IP이다."   따라서 취약한 호스트가 악성 패킷을 수신하면 자동으로 외부 IP 주소 헤더를 제거하고 내부 패킷을 목적지로 전달한다.    내부 패킷의 소스 IP 주소가 취약하지만 신뢰할 수 있는 호스트의 IP 주소인 경우 네트워크 필터를 통과할 수 있다.   방어 수단으로 IPSec 또는 WireGuard를 사용하여 인증 및 암호화를 제공하고 신뢰할 수 있는 출처의 터널링 패킷만 허용하는 것이 좋다.    네트워크 수준에서는 라우터와 미들박스에 트래픽 필터링을 구현하고 심층 패킷 검사(DPI)를 수행하고 암호화되지 않은 모든 터널링 패킷을 차단하는 것도 좋다.   보안 연구원은 "이러한 DoS 공격의 피해자에게 미치는 영향에는 네트워크 혼잡, 트래픽 과부하로 인해 리소스가 소모되어 서비스가 중단되고 과부하된 네트워크 장치가 충돌하는 것이 포함될 수 있다." 라고 말했다.    "또한 중간자 공격 및 데이터 가로채기와 같은 추가 악용의 기회도 열린다."       출처 https://thehackernews.com/2025/01/unsecured-tunneling-protocols-expose-42.html

    Python 패키지 인덱스(PyPI)에 등록된 'pycord-self'라는 악성 패키지가 Discord 개발자를 대상으로 인증 토큰을 탈취하고 원격 제어를 위한 백도어를 심는 공격을 수행하고 있다. 이 패키지는 약 2,800만 건 이상의 다운로드를 기록한 인기 패키지 'discord.py-self'를 모방한다. 'discord.py-self'는 Python 라이브러리로, Discord의 사용자 API와 통신할 수 있는 기능을 제공하며, 계정을 프로그래밍 방식으로 제어할 수 있도록 설계되었다. 일반적으로 메시지 전송, 상호작용 자동화, Discord 봇 생성, 자동화된 관리 및 알림, 명령 실행 또는 데이터 검색 등에 사용된다. 보안 업체에 따르면, 해당 악성 패키지는 작년 6월 PyPI에 추가되었으며, 현재까지 885회 다운로드되었다. 현재 해당 패키지는 여전히 PyPI에 등록되어 있으며, "Verified Details" 상태다.       [그림 1. 악성 패키지가 PyPi에 업로드되어 있는 모습]   보안 연구자가 악성 패키지의 코드를 분석한 결과, pycord-self가 대표적으로 두 가지 악성 행위를 수행한다고 밝혔다. 첫째, 피해자의 Discord 인증 토큰을 외부 URL로 전송하여 탈취한다.       [그림 2. Discord 토큰 탈취 수행 소스 코드 일부]     이 토큰을 사용하면 공격자는 피해자의 자격 증명 없이도 계정을 탈취할 수 있으며, 이중 인증이 활성화된 경우에도 영향을 미칠 수 있다. 둘째, 패키지는 포트 6969를 통해 원격 서버와 지속적인 연결을 설정해 백도어를 구축한다. 운영 체제에 따라 Linux에서는 'bash' 쉘을, Windows에서는 'cmd' 쉘을 실행하여 공격자가 피해자의 시스템에 지속적으로 접근할 수 있도록 한다. 백도어는 별도의 스레드에서 실행되며, 패키지가 정상적으로 동작하는 것처럼 보이게 해 탐지를 어렵게 만든다.       [그림 3. 백도어 설치 수행 소스 코드 일부]     보안 전문가들은 소프트웨어 개발자들에게 공식 작성자로부터 제공된 코드인지 확인하지 않은 채 패키지를 설치하지 않을 것을 권장하고 있다. 타이포스쿼팅(유사한 이름의 악성 패키지 등록)으로 인한 피해를 방지하기 위해 패키지 이름을 철저히 확인할 필요가 있다. 또한, 오픈 소스 라이브러리를 사용할 때는 의심스러운 함수가 포함되어 있는지 검토하고, 코드가 난독화된 경우 이를 피하는 것이 권장된다. 추가적으로, 스캐닝 도구를 사용해 악성 패키지를 탐지하고 차단하는 것도 도움이 된다. 출처 https://www.bleepingcomputer.com/news/security/malicious-pypi-package-steals-discord-auth-tokens-from-devs/