Ba gói độc hại mới đã được phát hiện trong kho lưu trữ mã nguồn mở Python Package Index (PyPI) với khả năng triển khai một công cụ khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng.
Ba gói độc hại, được đặt tên là modularseven, driftme và catme, đã thu hút tổng cộng 431 lượt tải xuống trong tháng qua trước khi chúng bị gỡ xuống.
"Các gói này, khi sử dụng ban đầu, triển khai một tệp thực thi CoinMiner trên các thiết bị Linux", nhà nghiên cứu Gabby Xiong của Fortinet FortiGuard Labs cho biết, thêm rằng các cổ phiếu chiến dịch trùng lặp với một chiến dịch trước đó liên quan đến việc sử dụng một gói gọi là culturestreak để triển khai một công cụ khai thác tiền điện tử.
Mã độc nằm trong tệp __init__.py, giải mã và truy xuất giai đoạn đầu tiên từ máy chủ từ xa, tập lệnh shell ("unmi.sh") tìm nạp tệp cấu hình cho hoạt động khai thác cũng như tệp CoinMiner được lưu trữ trên GitLab.
Tệp nhị phân ELF sau đó được thực thi trong nền bằng lệnh nohup, do đó đảm bảo rằng quá trình tiếp tục chạy sau khi thoát phiên.
"Lặp lại cách tiếp cận của gói 'culturestreak' trước đó, các gói này che giấu tải trọng của chúng, làm giảm hiệu quả khả năng phát hiện mã độc của chúng bằng cách lưu trữ nó trên một URL từ xa", Xiong nói. "Tải trọng sau đó được giải phóng dần dần trong các giai đoạn khác nhau để thực hiện các hoạt động độc hại của nó."
Các kết nối đến gói culturestreak cũng bắt nguồn từ thực tế là tệp cấu hình được lưu trữ trên miền papiculo [.] net và các tệp thực thi khai thác tiền xu được lưu trữ trên kho lưu trữ GitLab công khai.
Một cải tiến đáng chú ý trong ba gói mới là giới thiệu thêm một giai đoạn bằng cách che giấu ý định bất chính của chúng trong tập lệnh shell, do đó giúp nó tránh bị phát hiện bởi phần mềm bảo mật và kéo dài quá trình khai thác.
"Hơn nữa, phần mềm độc hại này chèn các lệnh độc hại vào tệp ~/.bashrc", Xiong nói. "Việc bổ sung này đảm bảo sự tồn tại và kích hoạt lại của phần mềm độc hại trên thiết bị của người dùng, kéo dài hiệu quả thời gian hoạt động bí mật của nó. Chiến lược này hỗ trợ việc khai thác kéo dài, lén lút thiết bị của người dùng vì lợi ích của kẻ tấn công".