3 κακόβουλα πακέτα PyPI βρέθηκαν να στοχεύουν το Linux για εγκατάσταση κακόβουλών προγραμμάτων

Τρία νέα κακόβουλα πακέτα έχουν ανακαλυφθεί στο αποθετήριο ανοικτού κώδικα Python Package Index (PyPI) με δυνατότητες ανάπτυξης ενός εξορύκτη (miner) κρυπτονομίσματος σε επηρεαζόμενες συσκευές Linux. Τα τρία επιβλαβή πακέτα, με τα ονόματα modularseven, driftme και catme, προσέλκυσαν συνολικά 431 λήψεις τον τελευταίο μήνα πριν από την απομάκρυνσή τους.

"Αυτά τα πακέτα, κατά την αρχική χρήση, αναπτύσσουν ένα εκτελέσιμο αρχείο CoinMiner σε συσκευές Linux", δήλωσε ο ερευνητής της Fortinet FortiGuard Labs, Gabby Xiong, προσθέτοντας ότι η δραστηριότητα μοιράζεται επικαλύψεις με μια προηγούμενη εκστρατεία που αφορούσε τη χρήση ενός πακέτου που ονομάζεται culturestreak για την ανάπτυξη ενός crypto miner.

Ο κακόβουλος κώδικας βρίσκεται στο αρχείο __init__.py, το οποίο αποκωδικοποιεί και ανακτά το πρώτο στάδιο από έναν απομακρυσμένο διακομιστή, ένα σενάριο κελύφους ("unmi.sh") που ανακτά ένα αρχείο ρυθμίσεων για τη δραστηριότητα εξόρυξης, καθώς και το αρχείο CoinMiner που φιλοξενείται στο GitLab. Στη συνέχεια, το δυαδικό αρχείο ELF εκτελείται στο παρασκήνιο χρησιμοποιώντας την εντολή nohup, εξασφαλίζοντας έτσι ότι η διαδικασία συνεχίζει να εκτελείται ακόμη και μετά την έξοδο από τη συνεδρία.

"Ακολουθώντας την προσέγγιση του προηγούμενου πακέτου 'culturestreak', αυτά τα πακέτα κρύβουν το πραγματικό "φορτίο" τους, μειώνοντας αποτελεσματικά τη δυνατότητα εντοπισμού του κακόβουλου κώδικά τους, φιλοξενώντας τον σε μια απομακρυσμένη διεύθυνση URL", δήλωσε ο Xiong. "Το κακόβουλο πρόγραμμα στη συνέχεια απελευθερώνεται σταδιακά σε διάφορα στάδια για να εκτελέσει τις κακόβουλες δραστηριότητές του". Οι συνδέσεις με το πακέτο culturestreak προκύπτουν επίσης από το γεγονός ότι το αρχείο διαμόρφωσης φιλοξενείται στον τομέα papiculo[.]net και τα εκτελέσιμα αρχεία εξόρυξης νομισμάτων φιλοξενούνται σε ένα δημόσιο αποθετήριο GitLab.

Μια αξιοσημείωτη βελτίωση στα τρία νέα πακέτα είναι η εισαγωγή ενός επιπλέον σταδίου με την απόκρυψη της κακόβουλης πρόθεσής τους στο σενάριο κελύφους, βοηθώντας το έτσι να αποφύγει την ανίχνευση από το λογισμικό ασφαλείας και παρατείνοντας τη διαδικασία εκμετάλλευσης. "Επιπλέον, αυτό το κακόβουλο λογισμικό εισάγει τις κακόβουλες εντολές στο αρχείο ~/.bashrc", δήλωσε ο Xiong. "Αυτή η προσθήκη διασφαλίζει την παραμονή και την επανενεργοποίηση του κακόβουλου λογισμικού στη συσκευή του χρήστη, επεκτείνοντας αποτελεσματικά τη διάρκεια της μυστικής λειτουργίας του. Αυτή η στρατηγική βοηθά στην παρατεταμένη, μυστική εκμετάλλευση της συσκευής του χρήστη προς όφελος του επιτιθέμενου".