241 Npm 및 PyPI 패키지, Linux 크립토마이너 출시

연구원들은 Linux 시스템을 감염시킨 후 크립토마이너를 드롭하는 최소 241개의 악성 Npm 및 PyPI 패키지를 발견했습니다.

이러한 악성 패키지는 대부분 널리 사용되는 라이브러리의 타이포스쿼트이며, 각 패키지는 크립토마이너를 실행하는 Linux 시스템에서 Bash 스크립트를 다운로드합니다.

뤼버스는 시스템을 감염시킨 후 오픈 소스 모네로 크립토마이너인 XMRig를 실행하는 "최소 33개의 프로젝트"를 PyPI에서 발견했습니다.
이 연구원은 33개 프로젝트의 프로세스를 PyPI에 보고하려고 시도하는 동안 위협 행위자가 게시한 동일한 악성 페이로드가 포함된 22개의 패키지를 추가로 발견했습니다.

"PyPI에 신고한 후 해당 패키지는 빠르게 삭제되었지만 악의적인 공격자는 여전히 더 많은 패키지를 업로드하고 있었고 22개의 패키지를 추가로 업로드했습니다. 이 패키지는 Linux 시스템을 노렸고 암호화폐 채굴 소프트웨어인 XMRig를 설치했습니다."라고 뤼버스는 설명합니다.

tbe 연구원에 따르면, 파이썬 패키지에는 Bit.ly URL 단축기를 통해 위협 행위자의 서버에서 BASH 스크립트를 다운로드하는 코드가 포함되어 있다고 합니다. 단축 링크는 80.78.25[.]140:8000에서 호스팅되는 스크립트로 리디렉션됩니다.

스크립트가 실행되면 위협 행위자에게 손상된 호스트의 IP 주소와 크립토마이너 배포 성공 여부를 알립니다.

"저는 패키지 관측소 클럽이라고 부르는 작은 사이드 프로젝트를 통해 이 패키지를 발견했습니다. 이 프로젝트는 PyPI와 RubyGems.org에 업로드된 모든 새 패키지에 대한 메타데이터를 쿼리하고 저장하며 몇 가지 휴리스틱을 실행합니다. 충분히 의심스러워 보이면 저에게 경고를 보내고 제가 살펴봅니다."라고 연구원은 설명했습니다.

노드 패키지 관리자라고도 하는 NPM은 오픈 소스 Node.js 프로젝트를 게시하기 위한 온라인 리포지토리입니다. 또한 패키지 설치, 버전 관리 및 종속성 관리를 지원하는 해당 리포지토리와 상호 작용하기 위한 명령줄 유틸리티이기도 합니다.

관리자는 이러한 공격으로부터 서버를 보호하기 위해 보안 조치를 취하는 것이 좋습니다.

이 글의 출처는 BleepingComputerBleepingComputer의 기사입니다.