CWN(CHANGE WITH NEWS) - 의문의 악성 파이썬 패키지 ′센티넬원′, 개발자 시스템 데이터 탈취

인도 IT·빅데이터 전문 잡지 애널리틱스 인사이트가 ‘센티넬원(SentinelOne)’이라는 의문의 파이썬 패키지가 사이버 보안 위협을 제기한다고 보도했다.

소프트웨어 공급망 기업 리버싱랩스(ReversingLabs)가 최초로 발견한 센티넬원은 PyPI에 등록된 파이썬 패키지로, 패키지 이름과 동일한 미국 사이버 보안 기업이 배포한 합법적인 SDK 클라이언트인 것처럼 유포됐다. 그러나 실제로 개발자의 데이터를 탈취하는 것으로 확인됐다.

센티넬원은 다른 프로젝트 내 센티넬원 API(SentinelOne API)에 한 단계 더 수월하게 접근할 수 있는 기능을 제공한다고 홍보한다. 그러나 보안 침해가 발생한 개발자 시스템에서 민감 데이터를 탈취한다.

악성 센티넬원 패키지는 PyPI에 처음 게재된 후 20차례 업데이트되었다. 리버싱랩스는 악성 센티넬원 패키지가 실제 센티넬원 SDK 파이썬 클라이언트를 복제한 뒤 악성 기능을 포함하도록 변경된 것으로 파악했다. 또, 악성 센티넬원 패키지에는 데이터 탈취 후 탈취 정보를 보안 기업인 센티넬원과는 관련이 없는 IP 주소에 등록하는 악성 코드를 추가한 ‘api.py’ 파일이 포함된 것으로 드러났다.

악성 센티넬원 패키지가 탈취한 정보 중에는 Bash 및 Zsh 이력, SSH 키, gitconfig 파일, 호스트 파일, AWS 구성 정보 등이 포함되었다. 모두 인증 토큰과 비밀, API 키를 포함한다는 공통점이 있어, 악성 패키지 유포 세력이 개발자 클라우드 서비스와 서버 추가 접근을 위해 의도적으로 개발자 환경을 겨냥한 것으로 추정할 수 있다.

이 외에도 악성 센티넬원 패키지의 누적 다운로드 횟수는 1,000번을 넘었다. 악성 패키지 초기 버전은 리눅스 시스템에서 데이터 수집 모듈 운영 문제가 발생했으며, 추후 최신 버전으로 모듈이 업데이트된 것으로 확인됐다.

한편, 센티넬원은 리버싱랩스 관계자가 PyPI와 보안 기업 센티넬원 측에 발견 사실을 알린 뒤 삭제됐다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]