3 paquetes PyPI maliciosos ocultan CoinMiner en dispositivos Linux
En una reciente revelación de ciberseguridad, el Python Package Index (PyPI) ha sido víctima de la infiltración de tres paquetes maliciosos: modularseven, driftme y catme. Estos paquetes, aunque ya han sido eliminados, consiguieron acumular la preocupante cifra de 431 descargas en el último mes, lo que supone una importante amenaza para la seguridad de los dispositivos Linux.
La conexión de la minería de criptomonedas
Los investigadores Gabby Xiong de Fortinet FortiGuard Labs descubrieron que estos paquetes son similares a uno que se utilizó en una campaña anterior llamada culturestreak después de darles un vistazo más de cerca. Al igual que los anteriores, estos paquetes maliciosos despliegan un ejecutable CoinMiner en los dispositivos Linux tras su uso inicial, convirtiendo la minería de criptomonedas en la principal amenaza.
Estos paquetes maliciosos de PyPI ocultan con éxito su carga útil, reduciendo la detectabilidad de su código malicioso. El método principal consiste en alojar la carga útil en una URL remota, concretamente en el archivo init.py. Este archivo decodifica y recupera la etapa inicial de un servidor remoto, obteniendo un script de shell llamado "unmi.sh", responsable de obtener un archivo de configuración y el ejecutable CoinMiner alojado en GitLab.
Ejecución y persistencia
A continuación, el archivo binario ELF se ejecuta en segundo plano mediante el comando nohup, lo que garantiza el funcionamiento sostenido del proceso incluso después de que el usuario abandone la sesión. Cabe destacar que estos paquetes presentan una mejora con respecto al paquete culturestreak al introducir una etapa adicional. Esta capa adicional oculta su nefasta intención dentro del script de shell, mejorando su capacidad para evadir la detección del software de seguridad y prolongando el proceso de explotación.
El alojamiento de los ejecutables de minería de monedas en un repositorio público de GitLab y el archivo de configuración en el dominio papiculo[.]net revelan los vínculos con el paquete culturestreak. Esta conexión pone de manifiesto un patrón preocupante en la distribución de paquetes dañinos con orígenes comunes, lo que subraya la necesidad de una mayor concienciación entre los desarrolladores de Python.
Además, la introducción de comandos maliciosos en el archivo ~/.bashrc de estos paquetes PyPI garantiza la persistencia del malware y su reactivación en el dispositivo del usuario. Este movimiento estratégico permite una explotación prolongada y sigilosa del dispositivo del usuario en beneficio del atacante.
Conclusión
El descubrimiento de estos paquetes PyPI maliciosos subraya la sofisticación creciente de las ciberamenazas dirigidas al ecosistema de desarrollo de Python. Los desarrolladores y expertos en seguridad deben permanecer alerta, implementando medidas robustas para detectar y prevenir la infiltración de paquetes maliciosos.
Las fuentes de este artículo incluyen una historia de TheHackerNews.