Un paquet PyPI malveillant installe Crytominer sur les systèmes Linux

Un paquet PyPI malveillant identifié comme secretslib est utilisé par le cryptomineur Monero sur les systèmes Linux. L'activité du paquet malveillant a été découverte par des chercheurs en sécurité de Sonatype.

Bien que secretslib se décrive comme "la concordance et la vérification des secrets en toute simplicité", une recherche minutieuse des chercheurs montre que le paquet est intégré avec la possibilité d'exécuter des cryptomineurs sur les machines Linux des utilisateurs directement à partir de leur RAM.

Après l'installation, secretslib télécharge un fichier appelé tox et lui donne la permission d'exécuter, et de s'exécuter à un niveau élevé. Dès qu'il s'exécute, les fichiers sont supprimés. Selon les chercheurs, le code malveillant déposé par tox est un cryptomineur qui exploite la monnaie privée Monero.

Les chercheurs ont expliqué que "tox" est un fichier Linux exécutable, un binaire ELF qui a été dépouillé. Le dépouillement d'un fichier exécutable signifie la suppression des informations de débogage qu'il contient et qui pourraient aider un ingénieur inverse à comprendre ce que fait le programme.

"Le paquet exécute secrètement des cryptomonnaies en mémoire sur votre machine Linux (directement à partir de votre RAM), une technique largement employée par les logiciels malveillants sans fichier et les cryptomonnaies. Le paquet exécute secrètement des cryptomonnaies en mémoire sur votre machine Linux (directement à partir de votre RAM), une technique largement employée par les logiciels malveillants sans fichier et les cryptomonnaies", a déclaré Ax Sharma, chercheur chez Sonatype, dans un rapport.

Alors que le paquet prétend aider à synchroniser et à vérifier les secrets, les chercheurs n'ont pu identifier aucun code qui aiderait un développeur à "synchroniser" ou à vérifier des secrets de quelque nature que ce soit.

Les sources de cette pièce comprennent un article dans DEVELOPER.