Linux 시스템에 크라이토마이너를 설치하는 악성 PyPI 패키지

Linux 시스템에서 모네로 크립토마이너가 secretslib로 식별된 악성 PyPI 패키지를 사용합니다. 이 악성 패키지 활동은 소나타입의 보안 연구원들에 의해 발견되었습니다.

secretslib은 스스로를 "간편한 비밀 매칭 및 검증"이라고 설명하지만, 연구자들의 면밀한 조사에 따르면 이 패키지는 사용자의 Linux 컴퓨터에서 RAM에서 직접 크립토마이너를 실행할 수 있는 기능을 내장하고 있는 것으로 나타났습니다.

설치가 완료되면 secretslib는 tox라는 파일을 다운로드하여 실행 권한을 부여하고 높은 수준에서 실행합니다. 실행되자마자 파일은 삭제됩니다. 연구자들에 따르면, 톡스가 드롭하는 악성 코드는 프라이버시 코인 모네로를 채굴하는 크립토마이너입니다.

연구원들은 "tox"가 실행 가능한 Linux 파일로, ELF 바이너리를 제거한 것이라고 설명했습니다. 실행 파일을 제거한다는 것은 리버스 엔지니어가 프로그램의 기능을 이해하는 데 도움이 될 수 있는 디버깅 정보를 제거하는 것을 의미합니다.

"이 패키지는 파일리스 멀웨어와 크립터들이 주로 사용하는 기술인 메모리(RAM에서 직접)에서 Linux 시스템에서 은밀하게 크립토마이너를 실행합니다. 이 패키지는 파일리스 멀웨어와 크립터들이 주로 사용하는 기법인 메모리(RAM에서 직접)에서 은밀하게 Linux 시스템에서 크립토마이너를 실행합니다."라고 소나타입의 연구원 악스 샤르마는 보고서에서 말했습니다.

이 패키지는 비밀을 동기화하고 검증하는 데 도움이 된다고 주장하지만, 연구원들은 개발자가 어떤 종류의 비밀을 '동기화'하거나 검증하는 데 도움이 되는 코드를 식별할 수 없었습니다.

이 글의 출처는 DEVELOPER에 실린 기사입니다.