В репозитории с открытым исходным кодом Python Package Index (PyPI) обнаружены три новых вредоносных пакета с возможностями развертывания майнера криптовалюты на зараженных устройствах Linux.
Три вредоносных пакета, названные modularseven, driftme и catme, за последний месяц получили в общей сложности 431 загрузку, прежде чем были удалены.
"Эти пакеты при первоначальном использовании развертывают исполняемый файл CoinMiner на устройствах Linux", - сказал исследователь FortiGuard Labs Габби Сюн, добавив, что акции кампании перекрываются с предыдущей кампанией, которая включала использование пакета под названием culturestreak для развертывания криптомайнера.
Вредоносный код находится в файле __init__.py, который декодирует и извлекает первый этап с удаленного сервера, сценарий оболочки ("unmi.sh"), который извлекает файл конфигурации для майнинга, а также файл CoinMiner, размещенный в GitLab.
Затем двоичный файл ELF выполняется в фоновом режиме с помощью команды nohup, таким образом гарантируя, что процесс продолжит выполняться после выхода из сеанса.
"Повторяя подход более раннего пакета 'culturestreak', эти пакеты скрывают свою полезную нагрузку, эффективно снижая обнаруживаемость своего вредоносного кода за счет размещения его по удаленному URL", - сказал Сюн. "Затем полезная нагрузка постепенно высвобождается на различных этапах для выполнения своих вредоносных действий".
Подключения к пакету culturestreak также связаны с тем фактом, что файл конфигурации размещен в домене papiculo[.]net, а исполняемые файлы для майнинга монет размещены в общедоступном репозитории GitLab.
Одним из заметных улучшений в трех новых пакетах является введение дополнительного этапа, скрывающего их гнусные намерения в скрипте оболочки, тем самым помогая им избежать обнаружения программным обеспечением безопасности и удлиняя процесс эксплуатации.
"Более того, это вредоносное ПО вставляет вредоносные команды в файл ~/.bashrc", - сказал Сюн. "Это дополнение обеспечивает сохраняемость вредоносного ПО и повторную активацию на устройстве пользователя, эффективно продлевая продолжительность его скрытой работы. Эта стратегия способствует длительной скрытой эксплуатации устройства пользователя в интересах злоумышленника."
