Python Paket Dizini (PyPI) açık kaynak deposunda, etkilenen Linux cihazlarına kripto para madencisini dağıtma yeteneklerine sahip üç yeni kötü amaçlı paket keşfedildi.
Modularseven, driftme ve catme adlı üç zararlı paket, kaldırılmadan önce geçtiğimiz ay boyunca toplam 431 kez indirildi.
Fortinet FortiGuard Labs araştırmacısı Gabby Xiong, “Bu paketler, ilk kullanımda, Linux cihazlarda çalıştırılabilir bir CoinMiner dağıtıyor” dedi ve kampanya paylaşımlarının, bir kripto madencisini dağıtmak için Culturestreak adlı bir paketin kullanımını içeren önceki bir kampanyayla örtüştüğünü ekledi.
Kötü amaçlı kod, uzaktaki bir sunucunun kodunu çözen ve ilk aşamayı alan __init__.py dosyasında, madencilik faaliyeti için bir yapılandırma dosyasının yanı sıra üzerinde barındırılan CoinMiner dosyasını getiren bir kabuk betiği (“unmi.sh”) içinde bulunur. GitLab.
ELF ikili dosyası daha sonra nohup komutu kullanılarak arka planda yürütülür, böylece işlemin oturumdan çıktıktan sonra da çalışmaya devam etmesi sağlanır.
Xiong, “Daha önceki ‘culturestreak’ paketinin yaklaşımını tekrarlayan bu paketler, yüklerini gizliyor ve kötü amaçlı kodlarını uzak bir URL’de barındırarak tespit edilebilirliğini etkili bir şekilde azaltıyor.” dedi. “Daha sonra yük, kötü amaçlı faaliyetlerini yürütmek için çeşitli aşamalarda aşamalı olarak serbest bırakılır.”
Culturestreak paketine olan bağlantılar aynı zamanda yapılandırma dosyasının papiculo etki alanında barındırılmasından da kaynaklanmaktadır.[.]net ve madeni para madenciliği yürütülebilir dosyaları halka açık bir GitLab deposunda barındırılıyor.
Üç yeni paketteki dikkate değer bir gelişme, kötü niyetli niyetlerini kabuk komut dosyasında gizleyen, böylece güvenlik yazılımı tarafından tespit edilmekten kaçınmaya yardımcı olan ve istismar sürecini uzatan ekstra bir aşamanın getirilmesidir.
Xiong, “Ayrıca bu kötü amaçlı yazılım, kötü amaçlı komutları ~/.bashrc dosyasına ekliyor” dedi. “Bu ekleme, kötü amaçlı yazılımın kullanıcının cihazında kalıcı olmasını ve yeniden etkinleştirilmesini sağlayarak gizli operasyon süresini etkili bir şekilde uzatıyor. Bu strateji, saldırganın yararına kullanıcının cihazının uzun süreli, gizlice kullanılmasına yardımcı oluyor.”