Python için resmi üçüncü taraf yazılım deposuna gönderilen şimdi kaldırılmış bir hileli paketin Linux sistemlerinde kripto madencileri dağıttığı bulundu.
“adlı modülsırlar kütüphanesi” ve 93 kez indirildi silinmeden önce, 6 Ağustos 2022’de Python Paket Endeksi’nde (PyPI) yayınlandı ve “gizli eşleştirme ve doğrulama kolaylaştı” olarak tanımlandı.
Sonatype araştırmacısı Ax Sharma, “Daha yakından bir incelemede, paket, büyük ölçüde dosyasız kötü amaçlı yazılımlar ve şifreleyiciler tarafından kullanılan bir teknik olan, Linux makinenizin belleğinde (doğrudan RAM’inizden) gizlice kripto madencileri çalıştırıyor.” ifşa geçen hafta bir raporda
Bunu, asıl görevi bir uzak sunucudan alınan bir Linux yürütülebilir dosyasını yürüterek başarır. ELF dosya (“memfd“) doğrudan bir Monero kripto madencisi olarak işlev gören bellekte, ardından “secretslib” paketi tarafından silinir.
Sharma, “Kötü niyetli faaliyet çok az ayak izi bırakıyor veya hiç iz bırakmıyor ve adli anlamda oldukça “görünmez”” dedi.
Bunun da ötesinde, paketin arkasındaki tehdit aktörü, kötü amaçlı yazılıma güvenilirlik kazandırmak için ABD Enerji Bakanlığı tarafından finanse edilen bir laboratuvar olan Argonne Ulusal Laboratuvarı için çalışan meşru bir yazılım mühendisinin kimlik ve iletişim bilgilerini kötüye kullandı.
Özetle, fikir, kullanıcıları, bilgileri veya rızası olmadan güvenilir, popüler bakımcılara atayarak zehirlenmiş kitaplıkları indirmeleri için kandırmaktır – paket yerleştirme adı verilen bir tedarik zinciri tehdidi.
Geliştirme, PyPi’nin parolalar ve API belirteçleri gibi kritik veri noktalarını toplamak için düzenlenen 10 kötü amaçlı paketi temizlemek için adımlar atması ile gerçekleşti.