Ett skadligt PyPI-paket användes för att installera en Monero cryptominer på Linux-system.
Paketet i fråga, secretslib, skickades till den officiella tredjepartsmjukvaran för Python den 6 augusti 2022. Paketet beskrevs som “hemlighetsmatchning och verifiering på ett enkelt sätt”.
Sonatypes automatiska system för upptäckt av skadlig programvara flaggade secretslib som potentiellt skadligt. Ytterligare analys visade att dess misstankar var korrekta.
“Paketet kör i hemlighet kryptominers på din Linux-maskin i minnet (direkt från ditt RAM), en teknik som till stor del används av fillös skadlig programvara och kryptering”, skrev Sonatype-forskaren Ax Sharma i en rapport.
När secretslib är installerat laddar den ned en fil som heter tox, ger den körrättigheter, kör den med förhöjda behörigheter och tar sedan bort filen efter att den har körts.
“Att ta bort en körbar fil tar bort felsökningsinformation som finns i den som annars skulle hjälpa en omvänd ingenjör att bättre förstå vad programmet gör”, förklarar Sharma.
Den skadliga koden som släpps av tox är en kryptominerare som bryter sekretessmyntet Monero.
Den som skapade secretslib använde namnet och informationen på en riktig mjukvaruingenjör som arbetar för det Illinois-baserade forskningslaboratoriet Argonne National Laboratory (ANL). Många anställda och medarbetare till ANL har legitimt bidragit till PyPI-registret någon gång.
“Kanske skulle detta ha fått hotaktören att använda identiteten hos en verklig anställd; att vilseleda användare och blanda hemligheter bland ett av de legitima och säkra paketen som tidigare publicerats av ANL-forskare”, teoretiserar Sharma.
Lyckligtvis laddades secretslib ner mindre än 100 gånger innan det togs bort.
(Foto av Quantitatives på Unsplash)
Vill du lära dig mer om cybersäkerhet och molnet från branschledare? Kolla in Cyber Security & Cloud Expo som äger rum i Amsterdam, Kalifornien och London.
Utforska andra kommande teknologievenemang och webbseminarier för företag som drivs av TechForge här.
