telnyx SDK, 악성 코드 감염! WAV 파일 은폐 공격

공격자는 WAV 오디오 파일(WAV Audio File) 내부에 악성 코드를 숨겨 네트워크 보안 검사를 우회했다. 구체적으로, WAV 파일의 오디오 프레임 데이터를 base64로 인코딩하고, XOR 암호화를 적용하여 악성 코드를 은닉했다. 스테가노그래피(Steganography)는 겉으로는 정상적인 오디오 파일처럼 보이지만, 실제로는 악성 코드를 포함하고 있어 탐지를 어렵게 만든다.

악성 코드는 윈도우 환경에서 %APPDATA% 디렉토리(Directory)에 msbuild.exe 파일을 생성하여 지속적인 실행을 보장한다. 이 파일은 사용자가 로그인할 때마다 자동으로 실행되도록 설정되어, 시스템에 대한 지속적인 접근 권한을 확보한다. 지속적인 실행 파일(Persistent Executable)은 공격자가 시스템을 장악하고, 추가적인 악성 행위를 수행할 수 있는 기반을 마련한다.

리눅스/macOS 환경에서 악성 코드는 자격 증명(Credentials)을 탈취하고, AES-256-CBC 및 RSA-4096 암호화를 통해 데이터를 보호한다. 탈취된 자격 증명은 공격자의 C2 서버로 전송되어, 추가적인 공격에 활용될 수 있다. 데이터 미저장 정책(Zero-Retention Policy)이 적용되지 않은 시스템은 심각한 보안 위협에 노출될 수 있다.

이번 공격은 과거 litellm 공격과 동일한 RSA-4096 공개 키(Public Key) 및 exfiltration 헤더를 사용하며, TeamPCP의 소행으로 추정된다. 공격자는 PyPI 게시 자격 증명을 탈취하여 악성 코드를 배포했다. PyPI 게시 프로세스(Publish Process)의 취약점을 악용한 것으로, 패키지 관리 시스템의 보안 강화가 시급하다는 지적이 나온다.

댓글에서는 PyPI를 포함한 패키지 저장소의 게시 프로세스 전반에 대한 개선 필요성을 제기한다. 특히, 자동화된 코드 실행(Automated Code Execution)이 패키지 설치 과정에서 발생하는 문제점을 지적하며, 패키지 관리 시스템의 보안 취약성을 강조한다. 데이터 격리 아키텍처(Data Isolation Architecture)를 통해 피해 범위를 제한해야 한다는 의견도 제시된다.