Hackernews 编译,转载请注明出处:
现已删除的流氓软件包被推送到Python的官方第三方软件存储库,该软件包可以在Linux系统上部署加密矿工。
该模块名为“secretslib”,在删除前下载了93次,于2022年8月6日发布到Python包索引(PyPI),并被描述为“简化了秘密匹配和验证”。
Sonatype研究人员Ax Sharma上周在一份报告中透露:“经过仔细检查,该软件包在内存中的Linux机器上秘密运行加密矿工(直接从RAM中),这种技术主要被无文件恶意软件和加密器使用。”
它通过在安装后执行从远程服务器检索的Linux可执行文件来实现这一点,其主要任务是将ELF文件(“memfd”)直接放入内存中,该文件充当Monero加密矿工的作用,然后被“secretslib”包删除。
该软件包背后的黑客滥用了阿贡国家实验室(美国能源部资助的实验室)一名合法软件工程师的身份和联系信息,来提高该恶意软件的可信度。
简而言之,这个想法就是在用户不知情或不同意的情况下,将这些被感染的库分配给受信任、受欢迎的维护人员,从而欺骗用户下载它们——这种供应链威胁被称为“package planting”。
PyPi采取措施清除了10个恶意软件包,这些软件包经过精心编排以获取密码和API令牌等关键数据点。