Bösartiges PyPI-Paket installiert Crytominer auf Linux-Systemen

Ein bösartiges PyPI-Paket mit dem Namen secretslib wird von Monero cryptominer auf Linux-Systemen verwendet. Die Aktivität des bösartigen Pakets wurde von Sicherheitsforschern bei Sonatype aufgedeckt.

Obwohl secretslib sich selbst als "Geheimnisabgleich und -überprüfung leicht gemacht" beschreibt, zeigen sorgfältige Untersuchungen von Forschern, dass das Paket mit der Fähigkeit ausgestattet ist, Kryptominer auf den Linux-Rechnern der Benutzer direkt aus deren RAM auszuführen.

Nach der Installation lädt secretslib eine Datei namens tox herunter und erteilt ihr die Erlaubnis, auf einer erhöhten Ebene ausgeführt zu werden. Sobald sie ausgeführt wird, werden die Dateien gelöscht. Den Forschern zufolge ist der von tox abgelegte Schadcode ein Kryptominer, der die Privatsphärenmünze Monero schürft.

Die Forscher erklärten, dass "tox" eine ausführbare Linux-Datei ist, eine ELF-Binärdatei, die gestrippt wurde. Das Strippen einer ausführbaren Datei bedeutet, dass darin enthaltene Debugging-Informationen entfernt werden, die einem Reverse Engineer helfen würden, die Funktionsweise des Programms zu verstehen.

"Das Paket führt heimlich Kryptominer auf Ihrem Linux-Rechner im Speicher aus (direkt aus dem RAM), eine Technik, die weitgehend von dateiloser Malware und Kryptern verwendet wird. Das Paket führt heimlich Kryptominer auf Ihrem Linux-Rechner im Speicher aus (direkt aus dem RAM), eine Technik, die vor allem von dateiloser Malware und Kryptern verwendet wird", so Sonatype-Forscher Ax Sharma in einem Bericht.

Obwohl das Paket behauptet, bei der Synchronisierung und Verifizierung von Geheimnissen zu helfen, konnten die Forscher keinen Code identifizieren, der einem Entwickler bei der "Synchronisierung" oder Verifizierung von Geheimnissen jeglicher Art helfen würde.

Zu den Quellen für diesen Artikel gehört ein Artikel in DEVELOPER.