ClickCease 241 Paquetes Npm y PyPI dejan caer criptomineros Linux - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

241 Paquetes de Npm y PyPI eliminan criptomineros de Linux

30 de agosto de 2022 - Equipo de relaciones públicas de TuxCare

Los investigadores han descubierto al menos 241 paquetes Npm y PyPI maliciosos que sueltan criptomineros tras infectar máquinas Linux.

Estos paquetes maliciosos son en gran medida typosquats de bibliotecas ampliamente utilizadas y cada uno de ellos descarga un script Bash en sistemas Linux que ejecutan criptomineros.

Lübbers descubrió "al menos 33 proyectos" en PyPI que lanzaban XMRig, un criptominero Monero de código abierto tras infectar un sistema.
Mientras intentaba informar de los procesos de los 33 proyectos a PyPI, el investigador descubrió otros 22 paquetes con la misma carga maliciosa publicados por el actor de la amenaza.

Después de informar a PyPI, se borraron rápidamente, pero el actor malicioso seguía subiendo más paquetes y subió otros 22". Los paquetes estaban dirigidos a sistemas Linux e instalaban el software de minería de criptomonedas XMRig", explica Lübbers.

Según el investigador, los paquetes python contienen códigos que descargan el script BASH desde el servidor del actor de la amenaza a través del acortador de URL Bit.ly. El enlace acortado redirige al script alojado en 80.78.25[.]140:8000.

Una vez ejecutado, el script notifica al actor de la amenaza la dirección IP del host comprometido y si el despliegue de criptomineros ha tenido éxito.

"Encontré estos paquetes a través de un pequeño proyecto paralelo mío, al que llamo Package Observatory Club. Consulta y almacena metadatos sobre todos los paquetes nuevos subidos a PyPI y RubyGems.org y ejecuta algunas heurísticas. Si parece lo bastante sospechoso, me avisa y le echo un vistazo", aclara el investigador.

NPM, también conocido como Node Package Manager, es un repositorio en línea para la publicación de proyectos Node.js de código abierto. También es una utilidad de línea de comandos para interactuar con dicho repositorio que ayuda en la instalación de paquetes, la gestión de versiones y la gestión de dependencias.

Se recomienda a los administradores que tomen medidas de seguridad para proteger sus servidores de estos ataques.

Las fuentes de esta pieza incluyen un artículo en BleepingComputerBleepingComputer.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín