ClickCease 3 paquets PyPI malveillants cachent CoinMiner sur des appareils Linux

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

3 paquets PyPI malveillants cachent CoinMiner sur des appareils Linux

par Rohan Timalsina

Le 17 janvier 2024 - L'équipe d'experts de TuxCare

Lors d'une récente révélation en matière de cybersécurité, le Python Package Index (PyPI ) a été victime de l'infiltration de trois paquets malveillants : modularseven, driftme et catme. Ces paquets, bien qu'ils aient été supprimés, ont réussi à accumuler 431 téléchargements au cours du mois dernier, ce qui constitue une menace importante pour la sécurité des appareils Linux.

 

La connexion minière des crypto-monnaies

 

Les chercheurs Gabby Xiong de Fortinet FortiGuard Labs ont découvert que ces paquets sont similaires à ceux utilisés dans une campagne précédente appelée culturestreak après les avoir examinés de plus près. Comme les précédents, ces paquets malveillants déploient un exécutable CoinMiner sur les appareils Linux dès la première utilisation, faisant du minage de crypto-monnaie la principale menace.

Ces paquets malveillants PyPI parviennent à dissimuler leur charge utile, réduisant ainsi la détectabilité de leur code malveillant. La principale méthode consiste à héberger la charge utile sur une URL distante, en particulier dans le fichier init.py. Ce fichier décode et récupère l'étape initiale d'un serveur distant, obtenant un script shell nommé "unmi.sh", responsable de la récupération d'un fichier de configuration et de l'exécutable CoinMiner hébergé sur GitLab.

 

Exécution et persistance

 

Le fichier binaire ELF est ensuite exécuté en arrière-plan à l'aide de la commande nohup, ce qui garantit le fonctionnement continu du processus même après que l'utilisateur a quitté la session. Ces paquets présentent notamment une amélioration par rapport au paquet culturestreak en introduisant une étape supplémentaire. Cette couche supplémentaire dissimule leur intention néfaste dans le script shell, ce qui renforce leur capacité à échapper à la détection par les logiciels de sécurité et prolonge le processus d'exploitation.

L'hébergement des exécutables de minage de pièces sur un dépôt public GitLab et le fichier de configuration sur le domaine papiculo[.]net révèlent les liens avec le paquet culturestreak. Ce lien met en évidence une tendance inquiétante dans la distribution de paquets nuisibles ayant des origines communes, soulignant la nécessité d'une sensibilisation accrue des développeurs Python.

En outre, l'introduction de commandes malveillantes dans le fichier ~/.bashrc de ces paquets PyPI garantit la persistance et la réactivation du logiciel malveillant sur l'appareil de l'utilisateur. Cette démarche stratégique permet une exploitation prolongée et furtive de l'appareil de l'utilisateur au profit de l'attaquant.

 

Conclusion

 

La découverte de ces paquets PyPI malveillants souligne la sophistication croissante des cybermenaces ciblant l'écosystème de développement Python. Les développeurs et les experts en sécurité doivent rester vigilants et mettre en œuvre des mesures robustes pour détecter et empêcher l'infiltration de paquets malveillants.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
3 paquets PyPI malveillants cachent CoinMiner sur des appareils Linux
Nom de l'article
3 paquets PyPI malveillants cachent CoinMiner sur des appareils Linux
Description
Explorez les dangers de trois paquets PyPI malveillants, en révélant leurs tactiques complexes et les risques évolutifs pour les développeurs Python.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !