黑客通过 PyPI 传播恶意软件

阅读量50318

发布时间 : 2024-01-08 14:24:02

最近在PyPI 开发人员的公共存储库中发现了三个能够在受感染的Linux设备上部署加密货币挖矿程序的恶意软件包。名为“modularseven”、“driftme”和“catme”的软件包引起了安全专家的注意,在从网站上删除之前,上个月被下载了 431 次。

Fortinet 的研究员 Gabby Xiong表示, 这些软件包在第一次使用时会将 CoinMiner 可执行文件部署到 Linux 设备上。

恶意代码位于文件“__init__.py”中,该文件从远程服务器解码并提取第一阶段 – 这是一个 shell 脚本(“unmi.sh”),用于加载挖矿配置文件以及CoinMiner 文件托管在GitLab上。

然后使用“nohup”命令在后台执行 ELF 二进制文件,确保进程在会话注销后继续运行。

Siong 指出,这些软件包与之前类似活动中的“culturestreak”一样,隐藏了有效负载,从而降低了通过将其放置在远程 URL 上来检测恶意代码的可能性。随后,有效负载会分阶段下载到受害者的计算机上以执行恶意活动。

与之前的“culturestreak”包的联系也可见于以下事实:配置文件托管在“papiculo[.]net”域上,并且挖掘可执行文件托管在公共 GitLab 存储库中。

三个检测到的软件包的显着创新之一是添加了一个额外步骤,该步骤隐藏 shell 脚本中的恶意意图,这有助于逃避防病毒软件的检测。

此外,Siong指出,该恶意软件将恶意命令插入到“~/.bashrc”文件中,这确保了恶意软件在用户设备上的持久性和重新激活,有效延长了其隐秘利用时间。此策略促进了受感染设备的最长和最隐蔽的使用,从而使攻击者受益。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66