3 paquets PyPI malveillants cachent CoinMiner sur des appareils Linux
Lors d'une récente révélation en matière de cybersécurité, le Python Package Index (PyPI ) a été victime de l'infiltration de trois paquets malveillants : modularseven, driftme et catme. Ces paquets, bien qu'ils aient été supprimés, ont réussi à accumuler 431 téléchargements au cours du mois dernier, ce qui constitue une menace importante pour la sécurité des appareils Linux.
La connexion minière des crypto-monnaies
Les chercheurs Gabby Xiong de Fortinet FortiGuard Labs ont découvert que ces paquets sont similaires à ceux utilisés dans une campagne précédente appelée culturestreak après les avoir examinés de plus près. Comme les précédents, ces paquets malveillants déploient un exécutable CoinMiner sur les appareils Linux dès la première utilisation, faisant du minage de crypto-monnaie la principale menace.
Ces paquets malveillants PyPI parviennent à dissimuler leur charge utile, réduisant ainsi la détectabilité de leur code malveillant. La principale méthode consiste à héberger la charge utile sur une URL distante, en particulier dans le fichier init.py. Ce fichier décode et récupère l'étape initiale d'un serveur distant, obtenant un script shell nommé "unmi.sh", responsable de la récupération d'un fichier de configuration et de l'exécutable CoinMiner hébergé sur GitLab.
Exécution et persistance
Le fichier binaire ELF est ensuite exécuté en arrière-plan à l'aide de la commande nohup, ce qui garantit le fonctionnement continu du processus même après que l'utilisateur a quitté la session. Ces paquets présentent notamment une amélioration par rapport au paquet culturestreak en introduisant une étape supplémentaire. Cette couche supplémentaire dissimule leur intention néfaste dans le script shell, ce qui renforce leur capacité à échapper à la détection par les logiciels de sécurité et prolonge le processus d'exploitation.
L'hébergement des exécutables de minage de pièces sur un dépôt public GitLab et le fichier de configuration sur le domaine papiculo[.]net révèlent les liens avec le paquet culturestreak. Ce lien met en évidence une tendance inquiétante dans la distribution de paquets nuisibles ayant des origines communes, soulignant la nécessité d'une sensibilisation accrue des développeurs Python.
En outre, l'introduction de commandes malveillantes dans le fichier ~/.bashrc de ces paquets PyPI garantit la persistance et la réactivation du logiciel malveillant sur l'appareil de l'utilisateur. Cette démarche stratégique permet une exploitation prolongée et furtive de l'appareil de l'utilisateur au profit de l'attaquant.
Conclusion
La découverte de ces paquets PyPI malveillants souligne la sophistication croissante des cybermenaces ciblant l'écosystème de développement Python. Les développeurs et les experts en sécurité doivent rester vigilants et mettre en œuvre des mesures robustes pour détecter et empêcher l'infiltration de paquets malveillants.
Les sources de cet article comprennent un article de TheHackerNews.