Τις τελευταίες ημέρες, εντοπίστηκαν πολλά κακόβουλα packages στο PyPI repository για Python projects που μετέτρεψαν τα workstations προγραμματιστών σε cryptomining μηχανήματα.
Δείτε επίσης: Python Package Index (PyPI) και GitLab δέχονται επιθέσεις spam
Όλα τα κακόβουλα packages δημοσιεύθηκαν από τον ίδιο λογαριασμό και εξαπάτησαν διάφορους προγραμματιστές κάνοντάς τους να τα κατεβάσουν χιλιάδες φορές, χρησιμοποιώντας ονόματα νόμιμων Python projects, τα οποία ωστόσο ήταν γραμμένα με λανθασμένο τρόπο.
Συνολικά έξι packages που περιείχαν κακόβουλο κώδικα διείσδυσαν στο Python Package Index (PyPI) τον Απρίλιο:
- maratlib
- maratlib1
- matplatlib-plus
- mllearnlib
- mplatlib
- learninglib
Και τα έξι προήλθαν από το χρήστη “nedog123” και τα ονόματα των περισσότερων σχετίζονται με το νόμιμο plotting software, matplotlib (αλλά δεν είναι γραμμένα σωστά).
Ο Ax Sharma, ερευνητής ασφαλείας στην εταιρεία Sonatype, ανέλυσε το “maratlib” package, σημειώνοντας ότι χρησιμοποιήθηκε ως dependency από τα άλλα κακόβουλα στοιχεία.
“Για καθένα από αυτά τα packages, ο κακόβουλος κώδικας περιλαμβάνεται στο αρχείο setup.py, το οποίο είναι ένα build script που εκτελείται κατά την εγκατάσταση ενός package“, γράφει ο ερευνητής.
Κατά την ανάλυση του πακέτου, ο ερευνητής ανακάλυψε, επίσης, ότι το maratlib προσπαθούσε να κατεβάσει ένα Bash script (aza2.sh) από ένα GitHub repository που δεν είναι πλέον διαθέσιμο.
Μέσα από τις αναλύσεις του, ο Sharma διαπίστωσε ότι ο ρόλος του script ήταν να τρέξει ένα cryptominer που ονομάζεται “Ubqminer” στον παραβιασμένο υπολογιστή.
Δείτε επίσης: Hackers εγκαθιστούν cryptomining malware σε unpatched Microsoft Exchange servers
Ο ερευνητής ανέφερε επίσης ότι ο δημιουργός του κακόβουλου λογισμικού αντικατέστησε την προεπιλεγμένη διεύθυνση Kryptex wallet με τη δική του για mining του Ubiq cryptocurrency (UBQ).
Σε μια άλλη παραλλαγή, το script περιελάμβανε ένα διαφορετικό πρόγραμμα cryptomining που χρησιμοποιεί GPU power, το open-source T-Rex.
Δείτε επίσης: Συσκευές Windows και Linux δέχονται επίθεση από νέο cryptomining worm
Οι επιτιθέμενοι στοχεύουν συχνά open-source code repositories, όπως PyPI, NPM for NodeJS ή RubyGems.
Σε αυτήν την περίπτωση, τα έξι κακόβουλα packages εντοπίστηκαν από τη Sonatype μετά τη σάρωση του PyPI repository με το αυτοματοποιημένο σύστημα εντοπισμού κακόβουλου λογισμικού, Release Integrity. Την ώρα που εντοπίστηκαν, τα κακόβουλα packages είχαν συγκεντρώσει σχεδόν 5.000 λήψεις (από τον Απρίλιο), με το “maratlib” να καταγράφει τον υψηλότερο αριθμό λήψεων, 2.371.
Πηγή: Bleeping Computer