ClickCease 3 paquetes PyPI maliciosos ocultan CoinMiner en dispositivos Linux

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

3 paquetes PyPI maliciosos ocultan CoinMiner en dispositivos Linux

por Rohan Timalsina

17 de enero de 2024 - Equipo de expertos TuxCare

En una reciente revelación de ciberseguridad, el Python Package Index (PyPI) ha sido víctima de la infiltración de tres paquetes maliciosos: modularseven, driftme y catme. Estos paquetes, aunque ya han sido eliminados, consiguieron acumular la preocupante cifra de 431 descargas en el último mes, lo que supone una importante amenaza para la seguridad de los dispositivos Linux.

 

La conexión de la minería de criptomonedas

 

Los investigadores Gabby Xiong de Fortinet FortiGuard Labs descubrieron que estos paquetes son similares a uno que se utilizó en una campaña anterior llamada culturestreak después de darles un vistazo más de cerca. Al igual que los anteriores, estos paquetes maliciosos despliegan un ejecutable CoinMiner en los dispositivos Linux tras su uso inicial, convirtiendo la minería de criptomonedas en la principal amenaza.

Estos paquetes maliciosos de PyPI ocultan con éxito su carga útil, reduciendo la detectabilidad de su código malicioso. El método principal consiste en alojar la carga útil en una URL remota, concretamente en el archivo init.py. Este archivo decodifica y recupera la etapa inicial de un servidor remoto, obteniendo un script de shell llamado "unmi.sh", responsable de obtener un archivo de configuración y el ejecutable CoinMiner alojado en GitLab.

 

Ejecución y persistencia

 

A continuación, el archivo binario ELF se ejecuta en segundo plano mediante el comando nohup, lo que garantiza el funcionamiento sostenido del proceso incluso después de que el usuario abandone la sesión. Cabe destacar que estos paquetes presentan una mejora con respecto al paquete culturestreak al introducir una etapa adicional. Esta capa adicional oculta su nefasta intención dentro del script de shell, mejorando su capacidad para evadir la detección del software de seguridad y prolongando el proceso de explotación.

El alojamiento de los ejecutables de minería de monedas en un repositorio público de GitLab y el archivo de configuración en el dominio papiculo[.]net revelan los vínculos con el paquete culturestreak. Esta conexión pone de manifiesto un patrón preocupante en la distribución de paquetes dañinos con orígenes comunes, lo que subraya la necesidad de una mayor concienciación entre los desarrolladores de Python.

Además, la introducción de comandos maliciosos en el archivo ~/.bashrc de estos paquetes PyPI garantiza la persistencia del malware y su reactivación en el dispositivo del usuario. Este movimiento estratégico permite una explotación prolongada y sigilosa del dispositivo del usuario en beneficio del atacante.

 

Conclusión

 

El descubrimiento de estos paquetes PyPI maliciosos subraya la sofisticación creciente de las ciberamenazas dirigidas al ecosistema de desarrollo de Python. Los desarrolladores y expertos en seguridad deben permanecer alerta, implementando medidas robustas para detectar y prevenir la infiltración de paquetes maliciosos.

 

Las fuentes de este artículo incluyen una historia de TheHackerNews.

Resumen
3 paquetes PyPI maliciosos ocultan CoinMiner en dispositivos Linux
Nombre del artículo
3 paquetes PyPI maliciosos ocultan CoinMiner en dispositivos Linux
Descripción
Explora los peligros de tres paquetes PyPI maliciosos, revelando sus intrincadas tácticas y la evolución de los riesgos para los desarrolladores de Python.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.