可用-安全-加密-黑客

新 PyPI 包将无文件加密矿工应用于 Linux 系统

  • 浏览次数 11757
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

code

现已删除的流氓软件包被推送到Python的官方第三方软件存储库,该软件包可以在Linux系统上部署加密矿工。

该模块名为“secretslib”,在删除前下载了93次,于2022年8月6日发布到Python包索引(PyPI),并被描述为“简化了秘密匹配和验证”。

Sonatype研究人员Ax Sharma上周在一份报告中透露:“经过仔细检查,该软件包在内存中的Linux机器上秘密运行加密矿工(直接从RAM中),这种技术主要被无文件恶意软件和加密器使用。”

它通过在安装后执行从远程服务器检索的Linux可执行文件来实现这一点,其主要任务是将ELF文件(“memfd”)直接放入内存中,该文件充当Monero加密矿工的作用,然后被“secretslib”包删除。

python

该软件包背后的黑客滥用了阿贡国家实验室(美国能源部资助的实验室)一名合法软件工程师的身份和联系信息,来提高该恶意软件的可信度。

简而言之,这个想法就是在用户不知情或不同意的情况下,将这些被感染的库分配给受信任、受欢迎的维护人员,从而欺骗用户下载它们——这种供应链威胁被称为“package planting”。

PyPi采取措施清除了10个恶意软件包,这些软件包经过精心编排以获取密码和API令牌等关键数据点。

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文