블리핑컴퓨터(BleepingComputer)에 따르면 정보 유출 악성코드가 인공지능 개발도구로 위장해 파이썬 패키지 저장소에서 유포됐다.

보안업체 포지티브 테크놀로지스(Positive Technologies)는 중국의 인공지능 스타트업 딥시크(DeepSeek)의 이름을 도용한 악성 패키지가 파이썬 패키지 저장소 파이피아이(PyPI)에서 발견됐다고 밝혔다.

문제의 악성코드는 'deepseeek'와 'deepseekai' 두 가지 버전(각각 0.0.8)으로 2025년 1월 29일 업로드됐다. 이는 최근 급부상하고 있는 딥시크의 R1 대규모 언어모델(Large Language Model)의 개발도구로 위장했다. 특히 두 패키지는 20분 간격으로 연속 등록됐다는 점이 특징이다.

총 222명의 개발자가 이 악성 패키지를 다운로드했으며, 국가별로는 미국이 117명으로 가장 많았고, 중국 36명을 비롯해 러시아, 독일, 홍콩, 캐나다 등에서 피해가 발생했다.

포지티브 테크놀로지스의 조사 결과, 이 악성코드는 개발자의 시스템에 설치되면 사용자 데이터와 시스템 정보를 탈취한다. 특히 API 키, 데이터베이스 접속 정보, 인프라 접근 토큰 등 민감한 환경 변수 정보를 노린다. 탈취한 정보는 자동화 플랫폼인 파이프드림(Pipedream)을 통해 'eoyyiyqubj7mquj.m.pipedream[.]net' 서버로 전송된다.

해당 악성코드는 2023년 6월에 생성된 계정을 통해 배포됐으며, 이 계정은 이번 사건 전까지 어떠한 활동도 없었던 것으로 확인됐다. 파이피아이는 악성 패키지 발견 즉시 격리 조치하고 다운로드를 차단했으며, 이후 플랫폼에서 완전히 삭제했다.

보안 전문가들은 해당 패키지를 다운로드한 개발자들에게 API 키, 인증 토큰, 비밀번호를 즉시 변경할 것을 권고했다. 또한 클라우드 서비스 사용자들은 보안 침해 여부를 반드시 확인해야 한다고 강조했다.

자세한 내용은 링크에서 확인할 수 있다.

이미지출처: 이디오그램 생성

기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다.