1331 подписчик
В репозитории с открытым исходным кодом Python Package Index (PyPI) обнаружены три новых вредоносных пакета с возможностями развертывания криптовалютного майнера на зараженных устройствах Linux.
Три вредоносных пакета, названных modularseven, driftme и catme, за последний месяц получили в общей сложности 431 загрузку, прежде чем были удалены...
Вредоносный код находится в файле __init__.py, который декодирует и извлекает первый этап с удаленного сервера, сценарий оболочки ("unmi.sh "), который извлекает файл конфигурации для майнинга, а также файл CoinMiner, размещенный в GitLab. Двоичный файл ELF затем выполняется в фоновом режиме с помощью команды nohup, таким образом гарантируя, что процесс продолжает выполняться даже после выхода из сеанса. Повторяя подход более раннего пакета "culturestreak", эти пакеты скрывают свою полезную нагрузку, эффективно снижая обнаруживаемость вредоносного кода за счет размещения его по удаленному URL .Затем полезная нагрузка постепенно высвобождается на различных этапах для выполнения.
Около минуты
9 января 2024