악성코드 · 2 min read · Dec 01, 2025

클라우드플레어 터널링을 통한 RAT 악성코드 설치 6개의 악성 PyPi 패키지

악성코드

Phylum 보안 회사의 연구팀은 파이썬 패키지 인덱스에서 정보 탈취 및 원격 접근 트로이 목마 악성코드를 설치하는 6개의 악성 패키지를 발견했습니다. 이들은 클라우드플레어를 사용하여 원격 접근을 위한 방화벽 제한을 우회했습니다.

Phylum의 연구자들에 따르면, 이 악성 확장 프로그램은 12월 22일 패키지 저장소에서 처음 발견되었으며, 공격자들은 2022년 마지막 날까지 다른 패키지를 계속 업로드했습니다.

이 악성 패키지는 브라우저에 저장된 민감한 사용자 데이터를 훔치고, 쉘 명령 및 키로거를 실행하여 입력된 비밀 데이터, 즉 비밀번호, 로그인, 암호화폐 지갑 등을 훔치려고 합니다.

다음은 Phylum 연구자들이 발견한 6개의 악성 패키지 목록입니다.

  • discord-dev
  • style.py
  • discorder
  • pythonstyles
  • easytimestamp
  • pyrologin

현재 이 6개의 악성 패키지는 파이썬 패키지 인덱스에서 제거되었으며, 사용자가 이미 이러한 패키지를 다운로드했다면, 감염의 잔여물을 수동으로 제거해야 합니다.

Setup.py 설치 프로그램에는 Powershell 스크립트로 디코딩되는 64비트 인코딩 문자열이 포함되어 있으며, 그런 다음 설치 프로그램은 ErrorAction.SlientlyContinue를 설정하여 스크립트가 오류에 부딪혀도 계속 실행되도록 하여 개발자에게 식별되지 않도록 합니다.

그 후 Powershell 스크립트는 원격 리소스에서 ZIP 파일을 다운로드하고, 이를 로컬 임시 디렉토리에 압축 해제한 다음, 다양한 종속성과 파이썬 패키지를 설치하여 원격 접근 및 스크린샷 촬영이 가능하도록 합니다.

또한, ‘flask’ 및 ‘flask cloudflared’ 단계 중간에 조용히 설치되는 두 개의 추가 파이썬 패키지가 있습니다.

ZIP 서버의 파일 중 하나인 server.pyw는 네 개의 스레드를 시작합니다. 첫 번째는 시스템 재부팅 간의 지속성을 설정하는 것입니다. 두 번째는 양파 웹사이트에 핑을 프록시하고 키스트로크 로거를 시작하며 마지막으로 감염된 컴퓨터에서 정보를 훔칩니다.

훔친 데이터에는 비밀번호, 로그인, 암호화폐 지갑, 브라우저 쿠키, 텔레그램 데이터, 토큰 등이 포함됩니다. 이 모든 정보는 transfer[.]st를 통해 위협 공격자에게 전송되며, 양파 웹사이트에 대한 핑은 정보 탈취 작업의 실행을 확인합니다.

클라우드플레어 터널링을 통한 RAT 악성코드 설치 6개의 악성 PyPi 패키지 1

모든 작업이 완료되면, 이제 스크립트는 ZIP 아카이브에 저장된 cftunnel.py를 실행하여 피해자의 컴퓨터에 클라우드플레어 터널 클라이언트를 설치합니다.

잘 모르는 분들을 위해, 클라우드플레어 터널은 사용자가 서버에서 클라우드플레어 인프라로 양방향 터널을 생성할 수 있게 해주는 서비스입니다.

이것은 웹 서버가 방화벽을 구성하거나 포트를 열거나 기타 라우팅 문제 없이 클라우드플레어를 통해 즉시 공개적으로 사용할 수 있게 합니다. 공격자는 이 터널을 사용하여 손상된 기계에서 실행 중인 원격 트로이 목마에 원격으로 접근합니다. 이 트로이 목마는 ‘Flask’ 스크립트로 실행되며, 장치가 방화벽으로 보호되고 있더라도 가능합니다.

공격자는 사용자 이름과 IP 주소를 훔치고, 손상된 기계에서 쉘 명령을 실행하며, 특정 파일 디렉토리를 외부로 유출하고, 파이썬 코드를 실행하며, 더 많은 페이로드를 다운로드하거나 시작하는 .rat로 알려진 “flask” 앱을 사용합니다.

또한, 원격 접근 트로이 목마는 피해자가 무언가를 입력하거나 마우스를 움직일 때 시작되는 초당 한 프레임 속도의 라이브 데스크탑 피드를 지원합니다.

클라우드플레어 터널링을 통한 RAT 악성코드 설치 6개의 악성 PyPi 패키지 2

안타깝게도, 파이썬 패키지 인덱스에서 모든 파일을 제거하거나 이를 업로드한 계정을 차단하는 것은 큰 도움이 되지 않습니다. 위협 행위자들은 이번에는 새로운 이름으로 다시 돌아올 수 있기 때문입니다.

따라서 이러한 악성 파이썬 패키지에 감염된 경우, 컴퓨터를 스캔하고 정기적으로 로그인하거나 방문하는 웹사이트의 모든 비밀번호를 변경하는 것이 권장됩니다!

읽기: 공격자들이 구글 광고 플랫폼을 통해 악성코드를 퍼뜨리기 위해 합법적인 소프트웨어 사이트를 복사하고 있습니다.

Share: X/Twitter LinkedIn
#악성코드

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.