Cuidado com 3 pacotes PyPI maliciosos direcionados ao Linux com criptomineradores

Cuidado com 3 pacotes PyPI maliciosos direcionados ao Linux com criptomineradores
PyPI reduz ao máximo dados de endereço IP

Se você usa Linux, como a maioria por aqui, precisa ficar atento. É preciso um cuidado: 3 pacotes PyPI maliciosos encontrados direcionados ao Linux com criptomineradores. Três novos pacotes maliciosos foram descobertos no repositório de código aberto Python Package Index (PyPI) com recursos para implantar um minerador de criptomoeda em dispositivos Linux afetados.

Os três pacotes prejudiciais, denominados modularseven, driftme e catme, atraíram um total de 431 downloads no mês passado, antes de serem removidos.

“Esses pacotes, após o uso inicial, implantam um executável CoinMiner em dispositivos Linux”, disse Gabby Xiong, pesquisadora do Fortinet FortiGuard Labs, acrescentando que os compartilhamentos da campanha se sobrepõem a uma campanha anterior que envolveu o uso de um pacote chamado culturestreak para implantar um minerador de criptografia.

O código malicioso reside no arquivo __init__.py, que decodifica e recupera o primeiro estágio de um servidor remoto, um shell script (“unmi.sh”) que busca um arquivo de configuração para a atividade de mineração, bem como o arquivo CoinMiner hospedado em GitLab.

Cuidado com 3 pacotes PyPI maliciosos direcionados ao Linux com criptomineradores

O arquivo binário ELF é então executado em segundo plano usando o comando nohup, garantindo assim que o processo continue em execução após sair da sessão.

“Ecoando a abordagem do pacote anterior ‘culturestreak’, esses pacotes ocultam sua carga útil, reduzindo efetivamente a detectabilidade de seu código malicioso ao hospedá-lo em uma URL remota”, disse Xiong. “A carga útil é então liberada gradativamente em vários estágios para executar suas atividades maliciosas.”

Cuidado com 3 pacotes PyPI maliciosos direcionados ao Linux com criptomineradores

As conexões com o pacote culturestreak também decorre do fato de o arquivo de configuração estar hospedado no domínio papiculo[.]net e os executáveis ??de mineração de moedas estarem hospedados em um repositório público do GitLab.

Uma melhoria notável nos três novos pacotes é a introdução de um estágio extra, ocultando suas intenções nefastas no script de shell, ajudando assim a evitar a detecção por software de segurança e prolongando o processo de exploração.

“Além disso, esse malware insere comandos maliciosos no arquivo ~/.bashrc”, disse Xiong. “Esta adição garante a persistência e reativação do malware no dispositivo do usuário, estendendo efetivamente a duração de sua operação secreta. Esta estratégia auxilia na exploração prolongada e furtiva do dispositivo do usuário para o benefício do invasor”.