Python 소프트웨어 재단은 가짜 Python 패키지 인덱스(PyPI) 웹사이트를 이용해 자격 증명을 재설정하는 새로운 피싱 공격에 대해 피해자들에게 경고했습니다.
pypi(.)org 에서 접속 가능한 PyPI는 Python 패키지 관리 도구의 기본 소스로 수십만 개의 패키지를 호스팅 하고 개발자에게 타사 소프트웨어 라이브러리를 배포할 수 있는 중앙 집중식 플랫폼을 제공
Python 소프트웨어 재단 개발자인 Seth Larson은 피싱 이메일이 계정 유지 관리 및 보안 절차를 위해 대상에게 이메일 주소 확인을 요청하며 계정을 정지하겠다고 위협하고 pypi-mirror(.)org의 피싱 랜딩 페이지로 리디렉션을 진행
링크를 클릭하고 자격 증명을 제공하셨다면 PyPI 비밀번호를 즉시 변경해야 함
위협 행위자들은 피해자의 자격 증명을 훔치려 하고 있으며 악성 코드를 이용해 PyPI에 게시한 Python 패키지를 손상하거나 새로운 악성 패키지를 개시하는 후속 공격에 사용될 가능성이 매우 큼
2025.7 에 있었던 피싱 페이지는 다음과 같습니다.
pypj(.)org 도메인을 사용하여 잠재적 피해자를 속여 가짜 PyPI 사이트에 로그인하게 유도를 한 사이트의 일부입니다.
PyPI 패키지 유지 관리자에게 이메일의 링크를 절대 클릭하지 말고 도메인 이름을 기반으로 자격 증명을 자동으로 채워주는 비밀번호 관리자를 사용해야 합니다.
해킹 시도로부터 계정을 더욱 안전하게 보호하려면 하드웨어 키와 같은 피싱 방지 2단계 인증(2FA) 방법을 사용하는 것이 원칙입니다.
Python 소프트웨어 재단 팀은 9월 초 GhostAction 공급망 공격으로 도난당한 모든 PyPI 토큰을 무효로 하여 위협 행위자가 이를 악용하여 맬웨어를 게시하지 않았음을 확인
보안 강화 권장 사항
비밀번호 변경: 가짜 웹사이트에 자격 증명을 입력했다면 즉시 PyPI 비밀번호를 변경하고, 계정 보안 기록을 확인해야 합니다.
2단계 인증(2FA): 피싱 방지 기능이 있는 하드웨어 키와 같은 2단계 인증을 사용해 계정을 보호
의심스러운 활동 신고: 피싱 이메일 등 의심스러운 활동은 security@pypi(.)org로 신고하여 다른 사용자의 피해를 막을 수 있음
악용 가능성
공격자들은 탈취한 계정 정보를 이용해 악성 패키지를 배포하거나 기존 패키지를 변조할 가능성이 큼
PyPI 패키지 관리자는 이메일의 링크를 클릭하지 말고 비밀번호 관리자를 사용하여 도메인 이름을 확인하는것을 권장
2024년 3월, 악성 패키지 유포로 말미암아 PyPI는 신규 사용자 등록과 프로젝트 생성을 일시 중단한 바 있음
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky) 에서 만든 악성코드-osinfo.dll(2025.10.4) (0) | 2025.10.08 |
|---|---|
| 김수키(Kimsuky) 서울대 국제문제연구소 사칭 악성코드-글로벌 복합 위기 한국의 안보전략.lnk(2025.9.28) (0) | 2025.10.03 |
| Notepad++ DLL 하이재킹 취약점으로 인해 공격자가 악성 코드 할수 있는 취약점-CVE-2025-56383 (0) | 2025.10.01 |
| 북한 Lazarus(라자루스) 가상화폐(암호화폐)탈취를 위해 만들어진 악성코드-config(.)py(2025.8.7) (0) | 2025.09.29 |
| 김수키(Kimsuky) 추정 국방대학교 안보정책학부 교수를 노린 주한 중화인민공화국 대사관 무관부 사칭 악성코드 (0) | 2025.09.24 |
| 김수키(Kimsuky)에서 만든 피싱 메일-2024년 귀속 종합소득세 가산세 안내(2025.9.16) (0) | 2025.09.19 |
| DDR5 메모리 Rowhammer 방어를 우회 하는 새로운 Phoenix 공격 (0) | 2025.09.18 |
| 김수키(Kimsuky)삼성전자 미팅 관련 으로 제작 악성코드(2025.9.11) (0) | 2025.09.17 |
