Drei neue schädliche Pakete wurden im Python Package Index (PyPI) Open-Source-Repository entdeckt, die in der Lage sind, einen Kryptowährungsminer auf betroffenen Linux-Geräten zu installieren.
Die drei schädlichen Pakete, mit den Namen modularseven, driftme und catme, wurden insgesamt 431 Mal heruntergeladen, bevor sie entfernt wurden.
„Diese Pakete installieren beim ersten Gebrauch ein CoinMiner-Executable auf Linux-Geräten“, so Gabby Xiong, Forscherin bei Fortinet FortiGuard Labs. Sie fügte hinzu, dass diese Kampagne Gemeinsamkeiten mit einer vorherigen Kampagne aufweist, bei der ein Paket namens culturestreak verwendet wurde, um einen Krypto-Miner zu installieren.
Der schädliche Code befindet sich in der Datei __init__.py, die den ersten Schritt von einem entfernten Server dekodiert und abruft. Dabei handelt es sich um ein Shell-Skript („unmi.sh“), das eine Konfigurationsdatei für die Mining-Aktivität sowie die CoinMiner-Datei von GitLab abruft.
Die ELF-Binärdatei wird dann im Hintergrund mit dem Befehl nohup ausgeführt, um sicherzustellen, dass der Prozess nach dem Beenden der Sitzung weiterläuft.
„Ähnlich wie beim früheren Paket ‚culturestreak‘ verbirgen diese Pakete ihre Payload und verringern so die Erkennbarkeit ihres schädlichen Codes, indem sie ihn auf einer Remote-URL hosten“, sagte Xiong. „Die Payload wird dann schrittweise in verschiedenen Phasen freigesetzt, um ihre schädlichen Aktivitäten auszuführen.“
Die Verbindung zum Paket „culturestreak“ ergibt sich auch daraus, dass die Konfigurationsdatei auf der Domain papiculo[.]net gehostet wird und die Coin-Mining-Executable-Dateien in einem öffentlichen GitLab-Repository gehostet werden.
Eine bemerkenswerte Neuerung in den drei neuen Paketen ist die Einführung einer zusätzlichen Stufe, indem ihre schädlichen Absichten in dem Shell-Skript verborgen werden, was dazu beiträgt, die Erkennung durch Sicherheitssoftware zu umgehen und den Ausbeutungsprozess zu verlängern.