Исследователи обнаружили PyPI-пакет, запускающий майнер в памяти устройств на Linux

Пт 12 Август 2022 08:57

По словам исследователей Sonatype , уже удаленный из PyPI пакет назывался "secretslib". Описание пакета было максимально странным: “легкие поиск и проверка секретов”.

Проанализировав код secretslib, специалисты не обнаружили ничего, что могло быть связано с поиском и проверкой неких “секретов”. Вместо этого код содержал закодированные инструкции по загрузке файла под названием "tox", его запуску с привилегиями sudo и удалению после завершения работы. Этот файл развертывал в памяти ELF (исполняемый файл Linux), который являлся криптомайнером.

Однако, это было не самой плохой новостью. Выяснилось, что вредоносный пакет использовал личные данные и контактную информацию реального инженера-программиста, работающего в национальной лаборатории, финансируемой Министерством энергетики США.

Кроме того, специалисты заметили, что файл “tox” был очищен от отладочной информации. По их мнению, это сделано для того, чтобы не дать аналитикам изучить вредоноса.

Стоит заметить, хорошие новости не заставили себя ждать – исследователи Sonatype сообщили о secretslib инженеру, личные данные которого были использованы, после чего вредоносный пакет исчез с PyPI.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 13 часов 13 минут 31 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.