Un paquete PyPI malicioso instala Crytominer en sistemas Linux

Un paquete PyPI malicioso identificado como secretslib es utilizado por la criptominera Monero en sistemas Linux. La actividad del paquete malicioso fue descubierta por investigadores de seguridad de Sonatype.

A pesar de que secretslib se describe a sí mismo como "una herramienta de verificación y comparación de secretos", una cuidadosa investigación realizada por los investigadores muestra que el paquete incluye la capacidad de ejecutar criptomineros en las máquinas Linux de los usuarios directamente desde su memoria RAM.

Tras la instalación, secretslib descarga un archivo llamado tox y le da permiso para ejecutarse, y ejecutarse a un nivel elevado. En cuanto se ejecuta, los archivos se eliminan. Según los investigadores, el código malicioso lanzado por tox es un cryptominer que mina la moneda de privacidad Monero.

Los investigadores explicaron que "tox" es un archivo ejecutable de Linux, un binario ELF despojado. Despojar un archivo ejecutable significa eliminar la información de depuración que contiene y que, de otro modo, ayudaría a un ingeniero inverso a entender lo que hace el programa.

"El paquete ejecuta criptomineros de forma encubierta en su máquina Linux en la memoria (directamente desde su RAM), una técnica empleada en gran medida por el malware sin archivos y los criptomineros. El paquete ejecuta de forma encubierta cryptominers en su máquina Linux en la memoria (directamente desde su memoria RAM), una técnica empleada en gran medida por el malware sin archivos y crypters," Sonatype investigador Ax Sharma dijo en un informe.

Aunque el paquete afirma ayudar a sincronizar y verificar secretos, los investigadores no han podido identificar ningún código que ayude a un desarrollador a "sincronizar" o verificar secretos de ningún tipo.

Las fuentes de este artículo incluyen un artículo en DEVELOPER.