카스퍼스키(Kaspersky) 연구진이 오픈AI의 챗GPT(ChatGPT)와 앤트로픽(Anthropic)의 클로드(Claude) AI 모델의 API를 제공한다고 주장하는 악성 'Python 패키지 인덱스(PyPI)' 패키지를 발견했다고 밝혔다. 해당 패키지에는 자르카스틸러(JarkaStealer)라는 정보 탈취 악성코드가 포함되어 있는 것으로 확인됐다.
악성 패키지는 “gptplus”와 “claudeai-eng”라는 이름으로 2023년 11월 한 사용자 “Xeroline”에 의해 업로드되었으며, 제거되기 전까지 1년 이상 동안 1,700회 이상 다운로드되었다. 해당 패키지는 30개국 이상의 사용자들에게 설치된 것으로 나타났으며, 미국, 중국, 프랑스, 독일, 러시아 등에서 주로 사용된 것으로 보고됐다. 그러나 특정 조직이나 지역을 타겟으로 한 정황은 발견되지 않았다.
이 패키지는 실제로 챗GPT의 데모 버전을 포함하고 있어 합법적인 API 제공 도구처럼 보이도록 위장했으나, 패키지 내부의 “init.py” 파일이 깃허브(GitHub) 리포지토리에서 “JavaUpdater.jar”라는 자바 아카이브를 다운로드하도록 설계되어 있었다. 이 자바 아카이브에는 브라우저 정보 탈취, 시스템 스크린샷 촬영, 시스템 정보 수집, 텔레그램(Telegram)과 디스코드(Discord)와 같은 애플리케이션의 세션 토큰을 탈취할 수 있는 자르카스틸러 악성코드가 포함되어 있었다.
자르카스틸러는 피해자의 시스템에 자바(Java)가 설치되지 않은 경우, 드롭박스(Dropbox)에서 자바 런타임 환경(Java Runtime Environment, JRE)을 다운로드 및 설치한 뒤 실행되도록 설계되었다. 실행된 악성코드는 피해자의 정보를 수집하고, 이를 공격자가 제어하는 서버로 전송한 뒤, 피해자의 시스템에서 해당 데이터를 삭제하는 과정을 수행했다.
자르카스틸러는 텔레그램 채널을 통해 서비스형 악성코드(MaaS, Malware-as-a-Service) 모델로 판매되고 있으며, 소스 코드 또한 깃허브를 통해 유출된 상태다. 이로 인해 악성코드가 더 광범위하게 배포될 가능성이 높은 상황이다.
카스퍼스키의 글로벌 연구 및 분석팀(GReAT)은 오픈소스 리포지토리를 자동으로 모니터링하는 시스템을 통해 해당 패키지를 발견했다. 이후 PyPI 관리자에게 즉각적으로 보고되어 해당 악성 패키지는 삭제되었다고 밝혔다.
카스퍼스키 측은 “이번 사례는 오픈소스 소프트웨어의 공급망을 겨냥한 사이버 공격의 위험성을 다시 한번 상기시킨다”며, “특히 AI와 같은 최신 기술을 도입할 때 사용하는 소프트웨어와 의존성에 대해 엄격한 검증과 무결성 점검을 실시해야 한다”고 강조했다.
악성 패키지를 다운로드하여 사용한 개발자는 이를 즉시 삭제할 것을 권장했다. 자르카스틸러는 지속성 기능이 없고, 해당 패키지가 실행될 때만 작동하기 때문에 패키지 삭제 후에는 더 이상 시스템에서 실행되지 않는다. 하지만 이미 유출되었을 가능성이 있는 모든 암호 및 세션 토큰은 반드시 재설정하거나 다시 발급받아야 한다고 경고했다.
이번 사건은 PyPI와 같은 오픈소스 리포지토리에서 악성코드가 포함된 패키지가 정기적으로 발견되고 있다는 점을 다시 한번 상기시켰다. 예를 들어 최근 PyPI에서 패브릭(Fabric) SSH 자동화 라이브러리를 모방한 패키지가 AWS 자격 증명을 탈취하도록 설계된 사례와, npm 리포지토리에서 북한 해커 그룹이 이더리움 개발 도구인 하드햇(Hardhat)을 위장해 윈도우 시스템을 감염시킨 사례 등이 보고된 바 있다.
카스퍼스키는 “앞으로도 오픈소스 소프트웨어 리포지토리와 공급망을 위협하는 활동을 지속적으로 모니터링하고 보호 조치를 강화해 나갈 것”이라고 밝혔다.
