최신 보안 동향

Python에서 유니코드를 사용해 난독화하는 onyxproxy 악성 패키지

TACHYON & ISARC 2023. 4. 4. 16:12

최근, PyPI 저장소에서 Python의 유니코드 지원을 악용해 소스코드를 난독화하는 "onyxproxy" 악성 패키지가 발견됐다.

 

Python에서는 'self'라는 일반 문자열과 유니코드를 사용해 작성된 'self'를 다른 문자열로 인식하며, 공격자는 이 점을 악용해 문자열 일치를 기반으로 하는 탐지를 회피하는 것으로 알려졌다. 보안 업체 phyum에 따르면, 공격자가 유니코드 문자와 일반 문자열을 혼합해 사용함으로써 사용자의 의심을 피하고, 이를 악용해 악의적인 코드를 실행하도록 설계했다.

 

이 악성코드는 실행 이후 사용자의 인증 토큰 및 개인 정보를 탈취한다.

 

[일반 문자열 self와 유니코드 self를 함께 사용한 Python 소스코드]

사진출처 : Phylum

 

출처

[1] Phylum (2023.03.22) - Malicious Actors Use Unicode Support in Python to Evade Detection

https://blog.phylum.io/malicious-actors-use-unicode-support-in-python-to-evade-detection