3 bösartige PyPI-Pakete verstecken CoinMiner auf Linux-Geräten
Im Rahmen einer aktuellen Enthüllung zur Cybersicherheit wurde der Python Package Index (PyPI) von drei bösartigen Paketen infiltriert: modularseven, driftme und catme. Diese Pakete wurden zwar inzwischen entfernt, konnten aber innerhalb des letzten Monats 431 Downloads verzeichnen und stellen eine erhebliche Bedrohung für die Sicherheit von Linux-Geräten dar.
Die Verbindung zum Kryptowährungsbergbau
Die Forscher Gabby Xiong von Fortinet FortiGuard Labs fanden heraus, dass diese Pakete einem Paket ähneln, das in einer früheren Kampagne namens culturestreak verwendet wurde, nachdem sie sie genauer unter die Lupe genommen hatten. Wie bei der vorherigen Kampagne wird auch bei diesen bösartigen Paketen bei der ersten Verwendung eine ausführbare CoinMiner-Datei auf Linux-Geräten installiert, wodurch das Mining von Kryptowährungen zur Hauptbedrohung wird.
Diese bösartigen PyPI-Pakete verstecken ihre Nutzlast erfolgreich und verringern so die Entdeckbarkeit ihres bösartigen Codes. Die Hauptmethode besteht darin, die Nutzlast auf einer entfernten URL zu hosten, insbesondere in der Datei init.py. Diese Datei dekodiert und ruft die Anfangsphase von einem entfernten Server ab, um ein Shell-Skript namens "unmi.sh" zu erhalten, das für den Abruf einer Konfigurationsdatei und der auf GitLab gehosteten ausführbaren CoinMiner-Datei verantwortlich ist.
Ausführung und Ausdauer
Die ELF-Binärdatei wird dann mit dem Befehl nohup im Hintergrund ausgeführt, so dass der Prozess auch nach Beendigung der Sitzung durch den Benutzer weiterläuft. Diese Pakete stellen eine Verbesserung gegenüber dem Paket culturestreak dar, da sie eine zusätzliche Stufe einführen. Diese zusätzliche Ebene verbirgt ihre schändlichen Absichten innerhalb des Shell-Skripts, was ihre Fähigkeit verbessert, sich der Erkennung durch Sicherheitssoftware zu entziehen und den Ausbeutungsprozess zu verlängern.
Das Hosting der ausführbaren Dateien zum Münzschürfen in einem öffentlichen GitLab-Repository und die Konfigurationsdatei auf der Domain papiculo[.]net zeigen die Verbindungen zum Paket culturestreak. Diese Verbindung zeigt ein besorgniserregendes Muster bei der Verbreitung schädlicher Pakete mit gemeinsamen Ursprüngen auf und unterstreicht die Notwendigkeit einer stärkeren Sensibilisierung der Python-Entwickler.
Darüber hinaus sorgt die Einführung bösartiger Befehle in die Datei ~/.bashrc in diesen PyPI-Paketen dafür, dass die Malware auf dem Gerät des Benutzers bestehen bleibt und reaktiviert wird. Dieser strategische Schachzug ermöglicht eine lang anhaltende, heimliche Ausnutzung des Geräts des Benutzers zum Vorteil des Angreifers.
Schlussfolgerung
Die Entdeckung dieser bösartigen PyPI-Pakete unterstreicht die zunehmende Raffinesse der Cyber-Bedrohungen, die auf das Ökosystem der Python-Entwickler abzielen. Entwickler und Sicherheitsexperten müssen wachsam bleiben und robuste Maßnahmen ergreifen, um die Infiltration bösartiger Pakete zu erkennen und zu verhindern.
Zu den Quellen für diesen Artikel gehört ein Artikel von TheHackerNews.