ClickCease 241 paquets Npm et PyPI abandonnent les cryptomineurs de Linux - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

241 paquets Npm et PyPI abandonnent les cryptomineurs de Linux

30 août 2022 - L'équipe de relations publiques de TuxCare

Des chercheurs ont découvert au moins 241 paquets Npm et PyPI malveillants qui déposent des cryptomonnaies après avoir infecté des machines Linux.

Ces paquets malveillants sont en grande partie des typosquats de bibliothèques largement utilisées et chacun d'entre eux télécharge un script Bash sur les systèmes Linux qui exécutent des cryptomonnaies.

Lübbers a découvert "au moins 33 projets" sur PyPI qui lançaient XMRig, un cryptomineur Monero open source après avoir infecté un système.
En essayant de signaler les processus des 33 projets à PyPI, le chercheur a découvert 22 autres paquets avec la même charge utile malveillante publiée par l'acteur de la menace.

"Après que je les ai signalés à PyPI, ils ont été rapidement supprimés - mais l'acteur malveillant était toujours en train de télécharger d'autres paquets, et en a téléchargé 22 autres. Les paquets ciblaient les systèmes Linux et installaient le logiciel d'extraction de crypto-monnaie XMRig", explique Lübbers.

Selon le chercheur, les paquets python contiennent des codes qui téléchargent le script BASH depuis le serveur de l'acteur de la menace via le raccourcisseur d'URL Bit.ly. Le lien raccourci redirige ensuite vers le script hébergé sur 80.78.25[.]140:8000.

Après son exécution, le script informe l'acteur de la menace de l'adresse IP de l'hôte compromis et de la réussite du déploiement des cryptomonnaies.

"J'ai trouvé ces paquets par le biais d'un de mes petits projets secondaires, que j'appelle le Package Observatory Club. Il interroge et stocke les métadonnées de tous les nouveaux paquets téléchargés sur PyPI et RubyGems.org et exécute certaines heuristiques. S'il semble suffisamment suspect, il m'alerte et j'y jette un œil", a précisé le chercheur.

NPM, également connu sous le nom de Node Package Manager, est un dépôt en ligne pour la publication de projets Node.js open-source. Il s'agit également d'un utilitaire en ligne de commande pour interagir avec ledit dépôt qui aide à l'installation de paquets, à la gestion des versions et à la gestion des dépendances.

Il est conseillé aux administrateurs de prendre des mesures de sécurité pour protéger leurs serveurs contre ces attaques.

Les sources de cette pièce comprennent un article dans BleepingComputerBleepingComputer.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information