惡意 PyPI 軟體包在 Linux 系統上安裝 Crytominer

一個被識別為secretslib的惡意PyPI軟體包被門羅幣加密礦工在Linux系統上使用。惡意包活動是由Sonatype的安全研究人員發現的。

儘管secretslib將自己描述為“秘密匹配和驗證變得容易”，但研究人員的仔細研究表明，該軟體包嵌入了直接從其RAM在使用者的Linux機器上運行加密礦工的能力。

安裝后，secretslib 會下載一個名為 tox 的檔，並授予其執行和在提升級別運行的許可權。一旦運行，檔就會被刪除。據研究人員稱，tox 丟棄的惡意代碼是挖掘隱私幣門羅幣的加密礦工。

研究人員解釋說，“tox”是一個可執行的Linux檔，一個被剝離的ELF二進位檔。剝離可執行檔意味著刪除其中包含的調試資訊，否則這些資訊將説明逆向工程師了解程式的功能。

“該套件在記憶體中的Linux機器上秘密運行加密礦工（直接從RAM中），這種技術主要由無文件惡意軟體和加密器使用。該軟體包在記憶體中的Linux機器上秘密運行加密礦工（直接從RAM），這種技術主要由無文件惡意軟體和加密器使用，“Sonatype研究員Ax Sharma在一份報告中說。

雖然該軟體包聲稱有助於同步和驗證機密，但研究人員無法識別任何可以幫助開發人員“同步”或驗證任何類型的機密的代碼。

這篇文章的來源包括 DEVELOPER中的一篇文章。