241 Npm- und PyPI-Pakete lassen Linux-Kryptomacher fallen
Forscher haben mindestens 241 bösartige Npm- und PyPI-Pakete entdeckt, die nach der Infizierung von Linux-Rechnern Kryptomineralien abwerfen.
Bei diesen bösartigen Paketen handelt es sich größtenteils um Typosquats weit verbreiteter Bibliotheken, und jedes von ihnen lädt ein Bash-Skript auf Linux-Systeme herunter, auf denen Cryptominers läuft.
Lübbers entdeckte auf PyPI "mindestens 33 Projekte", die nach der Infektion eines Systems XMRig, einen Open-Source-Monero-Kryptominer, starteten.
Bei dem Versuch, die Prozesse für die 33 Projekte an PyPI zu melden, entdeckte der Forscher weitere 22 Pakete mit der gleichen bösartigen Nutzlast, die von dem Bedrohungsakteur veröffentlicht wurden.
"Nachdem ich sie an PyPI gemeldet hatte, wurden sie schnell gelöscht - aber der bösartige Akteur war immer noch dabei, weitere Pakete hochzuladen, und lud 22 weitere hoch. Die Pakete zielten auf Linux-Systeme ab und installierten die Krypto-Mining-Software XMRig", erklärt Lübbers.
Nach Angaben des Forschers enthalten die Python-Pakete Codes, die das BASH-Skript vom Server des Bedrohungsakteurs über den Bit.ly-URL-Verkürzer herunterladen. Der verkürzte Link leitet dann zu dem Skript weiter, das auf 80.78.25[.]140:8000 gehostet wird.
Nach seiner Ausführung informiert das Skript den Bedrohungsakteur über die IP-Adresse des kompromittierten Hosts und darüber, ob der Einsatz von Kryptominern erfolgreich war.
"Ich habe diese Pakete durch ein kleines Nebenprojekt von mir gefunden, das ich den Package Observatory Club nenne. Es sucht und speichert Metadaten über alle neuen Pakete, die auf PyPI und RubyGems.org hochgeladen werden, und führt einige heuristische Verfahren durch. Wenn es verdächtig genug aussieht, alarmiert es mich und ich schaue es mir an", erklärte der Forscher weiter.
NPM, auch bekannt als Node Package Manager, ist ein Online-Repository für die Veröffentlichung von Open-Source-Node.js-Projekten. Es ist auch ein Kommandozeilenprogramm für die Interaktion mit dem Repository, das bei der Installation von Paketen, der Versionsverwaltung und der Verwaltung von Abhängigkeiten hilft.
Den Administratoren wird empfohlen, Sicherheitsmaßnahmen zu ergreifen, um ihre Server vor diesen Angriffen zu schützen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputerBleepingComputer.