ClickCease 3 bösartige PyPI-Pakete verstecken CoinMiner auf Linux-Geräten

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

3 bösartige PyPI-Pakete verstecken CoinMiner auf Linux-Geräten

Rohan Timalsina

Januar 17, 2024 - TuxCare-Expertenteam

Im Rahmen einer aktuellen Enthüllung zur Cybersicherheit wurde der Python Package Index (PyPI) von drei bösartigen Paketen infiltriert: modularseven, driftme und catme. Diese Pakete wurden zwar inzwischen entfernt, konnten aber innerhalb des letzten Monats 431 Downloads verzeichnen und stellen eine erhebliche Bedrohung für die Sicherheit von Linux-Geräten dar.

 

Die Verbindung zum Kryptowährungsbergbau

 

Die Forscher Gabby Xiong von Fortinet FortiGuard Labs fanden heraus, dass diese Pakete einem Paket ähneln, das in einer früheren Kampagne namens culturestreak verwendet wurde, nachdem sie sie genauer unter die Lupe genommen hatten. Wie bei der vorherigen Kampagne wird auch bei diesen bösartigen Paketen bei der ersten Verwendung eine ausführbare CoinMiner-Datei auf Linux-Geräten installiert, wodurch das Mining von Kryptowährungen zur Hauptbedrohung wird.

Diese bösartigen PyPI-Pakete verstecken ihre Nutzlast erfolgreich und verringern so die Entdeckbarkeit ihres bösartigen Codes. Die Hauptmethode besteht darin, die Nutzlast auf einer entfernten URL zu hosten, insbesondere in der Datei init.py. Diese Datei dekodiert und ruft die Anfangsphase von einem entfernten Server ab, um ein Shell-Skript namens "unmi.sh" zu erhalten, das für den Abruf einer Konfigurationsdatei und der auf GitLab gehosteten ausführbaren CoinMiner-Datei verantwortlich ist.

 

Ausführung und Ausdauer

 

Die ELF-Binärdatei wird dann mit dem Befehl nohup im Hintergrund ausgeführt, so dass der Prozess auch nach Beendigung der Sitzung durch den Benutzer weiterläuft. Diese Pakete stellen eine Verbesserung gegenüber dem Paket culturestreak dar, da sie eine zusätzliche Stufe einführen. Diese zusätzliche Ebene verbirgt ihre schändlichen Absichten innerhalb des Shell-Skripts, was ihre Fähigkeit verbessert, sich der Erkennung durch Sicherheitssoftware zu entziehen und den Ausbeutungsprozess zu verlängern.

Das Hosting der ausführbaren Dateien zum Münzschürfen in einem öffentlichen GitLab-Repository und die Konfigurationsdatei auf der Domain papiculo[.]net zeigen die Verbindungen zum Paket culturestreak. Diese Verbindung zeigt ein besorgniserregendes Muster bei der Verbreitung schädlicher Pakete mit gemeinsamen Ursprüngen auf und unterstreicht die Notwendigkeit einer stärkeren Sensibilisierung der Python-Entwickler.

Darüber hinaus sorgt die Einführung bösartiger Befehle in die Datei ~/.bashrc in diesen PyPI-Paketen dafür, dass die Malware auf dem Gerät des Benutzers bestehen bleibt und reaktiviert wird. Dieser strategische Schachzug ermöglicht eine lang anhaltende, heimliche Ausnutzung des Geräts des Benutzers zum Vorteil des Angreifers.

 

Schlussfolgerung

 

Die Entdeckung dieser bösartigen PyPI-Pakete unterstreicht die zunehmende Raffinesse der Cyber-Bedrohungen, die auf das Ökosystem der Python-Entwickler abzielen. Entwickler und Sicherheitsexperten müssen wachsam bleiben und robuste Maßnahmen ergreifen, um die Infiltration bösartiger Pakete zu erkennen und zu verhindern.

 

Zu den Quellen für diesen Artikel gehört ein Artikel von TheHackerNews.

Zusammenfassung
3 bösartige PyPI-Pakete verstecken CoinMiner auf Linux-Geräten
Artikel Name
3 bösartige PyPI-Pakete verstecken CoinMiner auf Linux-Geräten
Beschreibung
Erforschen Sie die Gefahren dreier bösartiger PyPI-Pakete, indem Sie deren ausgeklügelte Taktiken und die sich entwickelnden Risiken für Python-Entwickler aufdecken.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter