Python için resmi üçüncü taraf yazılım deposuna gönderilen şimdi kaldırılmış bir hileli paketin Linux sistemlerinde kripto madencileri dağıttığı bulundu.
“Secretslib” adlı ve silinmeden önce 93 kez indirilen modül, 6 Ağustos 2022’de Python Paket Endeksi’ne (PyPI) yayınlandı ve “gizli eşleştirme ve doğrulama kolaylaştı” olarak tanımlandı.
Sonatype araştırmacısı Ax Sharma, geçen haftaki bir raporda, “Daha yakından bir incelemede, paket, büyük ölçüde dosyasız kötü amaçlı yazılımlar ve şifreleyiciler tarafından kullanılan bir teknik olan, Linux makinenizin belleğinde (doğrudan RAM’inizden) gizlice kripto madencileri çalıştırıyor” dedi.
Bunu, ana görevi bir Monero kripto madenci olarak işlev gören bir ELF dosyasını (“memfd”) doğrudan belleğe bırakmak olan ve ardından ” secretslib” paketi.
Sharma, “Kötü niyetli faaliyet çok az ayak izi bırakıyor veya hiç iz bırakmıyor ve adli anlamda oldukça “görünmez”” dedi.
Bunun da ötesinde, paketin arkasındaki tehdit aktörü, kötü amaçlı yazılıma güvenilirlik kazandırmak için ABD Enerji Bakanlığı tarafından finanse edilen bir laboratuvar olan Argonne Ulusal Laboratuvarı için çalışan meşru bir yazılım mühendisinin kimlik ve iletişim bilgilerini kötüye kullandı.
Özetle, fikir, kullanıcıları, bilgileri veya rızası olmadan güvenilir, popüler bakımcılara atayarak zehirlenmiş kitaplıkları indirmeleri için kandırmaktır – paket yerleştirme adı verilen bir tedarik zinciri tehdidi.
Geliştirme, PyPi’nin parolalar ve API belirteçleri gibi kritik veri noktalarını toplamak için düzenlenen 10 kötü amaçlı paketi temizlemek için adımlar atması ile gerçekleşti.