Разработчики становятся жертвами: как хакеры похищают вычислительные ресурсы через PyPI

Разработчики становятся жертвами: как хакеры похищают вычислительные ресурсы через PyPI

Засланный казачок нацелен на Linux-системы. Как скоро жертвы атаки заметят неладное?

image

В открытом репозитории для разработчиков PyPI недавно были обнаружены три вредоносных пакета, способных развёртывать майнер криптовалют на заражённых устройствах Linux. Пакеты с названиями «modularseven», «driftme» и «catme» привлекли внимание специалистов безопасности, будучи скачанными 431 раз за последний месяц, прежде чем были удалены с площадки.

Габби Сионг, исследователь компании Fortinet, сообщил , что эти пакеты при первом использовании развёртывают исполняемый файл CoinMiner на устройствах Linux.

Вредоносный код располагается в файле «__init__.py», который декодирует и извлекает первую стадию с удалённого сервера — это shell-скрипт («unmi.sh»), который загружает конфигурационный файл для майнинга, а также файл CoinMiner, размещённый на GitLab.

Затем ELF-бинарный файл выполняется в фоновом режиме с использованием команды «nohup», что обеспечивает продолжение работы процесса после выхода из сессии.

Сионг отмечает, что эти пакеты, подобно «culturestreak» из предыдущей подобной кампании, скрывают полезную нагрузку, тем самым уменьшая возможность обнаружения вредоносного кода за счёт его размещения на удалённом URL. Позже полезная нагрузка поэтапно загружается на компьютер жертвы для выполнения вредоносной активности.

Связь с предыдущим пакетом «culturestreak» также проглядывается в том, что конфигурационный файл размещён на домене «papiculo[.]net», а исполняемые файлы майнинга размещены в публичном репозитории GitLab.

Одним из заметных нововведений в трёх обнаруженных пакетах является добавление дополнительного этапа, скрывающего злонамеренные намерения в shell-скрипте, что помогает избежать обнаружения антивирусным программным обеспечением.

Кроме того, Сионг указывает, что это вредоносное ПО вставляет злонамеренные команды в файл «~/.bashrc», что обеспечивает постоянство и повторную активацию вредоносного ПО на устройстве пользователя, эффективно продлевая период его скрытной эксплуатации. Эта стратегия способствует максимально длительному и скрытному использованию скомпрометированного устройства в интересах злоумышленников.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий