Pesquisadores descobrem três pacotes maliciosos no repositório PyPI direcionados a sistemas Linux

pesquisadores-descobrem-tres-pacotes-maliciosos-no-repositorio-pypi-direcionados-a-sistemas-linux

Os pesquisadores da Fortinet descobriram três pacotes maliciosos no repositório PyPI de código aberto. Esses pacotes estavam sendo direcionados a sistemas Linux com um minerador de criptomoedas. Os três pacotes denominados modularseven, driftme e catme têm o mesmo autor, conhecido como “sastra”, que criou uma conta PyPI pouco antes de enviar o primeiro deles.

Pacotes maliciosos no repositório PyPI

Os pacotes maliciosos totalizaram mais de 400 downloads antes de serem removidos do repositório. A Fortinet observou que os indicadores de comprometimento (IoCs) para esses pacotes correspondem aos do pacote PyPI “culturestreak” descoberto no início de setembro. O código malicioso é acionado pela instrução “import” no arquivo init.py. O primeiro estágio do malware reside no módulo processador.py.

pesquisadores-descobrem-tres-pacotes-maliciosos-no-repositorio-pypi-direcionados-a-sistemas-linux

De acordo com as informações, o código decodifica e recupera um script shell (“unmi.sh”) de um servidor remoto, por sua vez, busca um arquivo de configuração para a atividade de mineração junto com o arquivo CoinMiner hospedado no GitLab.

“Utilizando o script “unmi.sh”, o invasor baixa dois itens críticos no dispositivo do usuário: O primeiro é “config.json”, um arquivo de configuração necessário para executar o programa que será instalado. Este arquivo descreve a configuração de mineração de criptomoeda.

Especificamente, ele determina o algoritmo de mineração, ou seja, randomX, as configurações de recursos do dispositivo para operações de mineração e os “pools” de mineração designados, juntamente com a conta da carteira do beneficiário. O invasor optou por desabilitar o recurso “init-avx2?, presumivelmente para garantir a compatibilidade com dispositivos mais antigos”, de acordo com a análise publicada pela Fortinet.

O segundo componente principal da carga útil é o executável CoinMiner.

Ação dos cibercriminosos

Os atores da ameaça usam o comando “nohup” para executar o executável em segundo plano para garantir que o processo permaneça ativo além da sessão do terminal. Os especialistas notaram que o invasor anexou todas as modificações ao arquivo ~/.bashrc, para manter a persistência sempre que o usuário inicia uma nova sessão do shell Bash.

Esses três pacotes, quando comparados ao “culturestreak”, apresentam estratégias aprimoradas tanto para ocultar sua presença quanto para manter suas funções maliciosas. Uma melhoria importante é a introdução de um estágio extra, onde comandos cruciais para operações maliciosas são armazenados no arquivo “unmi.sh” em um servidor remoto.

Essa tática aumenta as chances de evitar a detecção por soluções de segurança, minimizando o código dentro do pacote PyPI. Também permite uma divulgação mais controlada do código malicioso, simplesmente desativando o servidor que hospeda este script “unmi.sh”.