보안 기업 Sonatype 연구팀이 리눅스 시스템에서 파일리스 크립토마이너를 드롭하도록 설계된 secretslib라는 새로운 악성 PyPI(Python Package Index) 패키지를 발견했다.
패키지 운영자는 이 패키지를 사용하면 매칭 및 검증이 훨씬 쉬워진다고 설명한다. 패키지는 2020년 8월 6일 이후 총 93회 다운로드된 것으로 알려진다.
Secretslib 연구팀에 따르면, 악성 패키지는 리눅스의 머신 RAM에서 직접 크립토마이너를 실행한다. 이 기술은 파일리스 멀웨어와 크립토재킹에서 주로 사용된다.
악성 패키지는 원격 서버에서 리눅스 실행 파일을 가져와 실행하고, ELF 파일을 메모리에 직접 드롭한다. 이후 memfd_create 시스템 호출로 생성된 Monero 암호화 채굴기를 사용한다.
연구팀은 “memfd_create와 같은 리눅스 시스템 호출을 통해 프로그래머는 디스크에 파일을 쓰는 대신 RAM에 익명 파일을 드롭할 수 있다. 악성 파일을 하드 드라이브로 출력하는 중간 단계를 건너뛰기 때문에 바이러스 백신 제품이 현재 시스템의 메모리 내의 파일리스 멀웨어를 찾아내는 것이 쉽지 않을 수 있다. 하지만 탐지가 불가능한 정도는 아니다”라고 분석했다.
한편, 이 악성 패키지는 미국 에너지부(Department of Energy)를 위해 UChicago Argonne LLC에서 운영하는 일리노이 소재 과학 및 엔지니어링 연구 연구소인 Argonne National Laboratory에서 일하는 엔지니어의 이름을 사용하고 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
