新的 PyPI 包提供無檔案 Linux 惡意軟體

語言: CN / TW / HK

Security Affairs 網站披露,Sonatype 研究人員發現了一個名為“secretslib”的新 PyPI 包,旨在將無檔案加密礦工投放到 Linux 機器系統的記憶體中。

據悉,該軟體包將自身描述成“輕鬆匹配和驗證祕密”,自 2020 年 8 月 6 日以來,已經有了 93 次下載。

網路安全專家發帖子表示,secretslib PyPI 包將自己描述為“使祕密匹配和驗證變得容易”。但經過仔細分析觀察,該軟體包在使用者 Linux 機器上暗中執行加密礦工(直接從使用者的 RAM 中),這種技術主要由無檔案的惡意軟體和加密器採用。

該軟體包可以從遠端伺服器獲取 Linux 可執行檔案並執行,以將 ELF 檔案(“memfd”)直接放入記憶體中,它是一個可能通過“memfd_create”系統呼叫建立的門羅幣加密礦工。

研究人員發現了其它惡意軟體包

研究人員發現,“像 memfd_create”這樣的 Linux 系統呼叫使程式設計師能夠在 RAM 中投放 “匿名 ”檔案,而不是將檔案寫入磁碟。這種情況跳過了將惡意檔案輸出到硬碟的中間步驟,因此防病毒產品可能並不容易主動捕獲到還駐留在系統易失性記憶體中的無檔案惡意軟體。

此外,由於“secretslib”包在執行時會立即刪除“tox”,並且“tox”注入的加密貨幣程式碼駐留在系統的易失性記憶體(RAM)中,而不是硬碟驅動器中,因此惡意活動幾乎沒有留下任何痕跡,某種意義上講可以說是相當“隱形 ”。

“secretslib”背後的威脅攻擊者使用了為阿貢國家實驗室(ANL.gov)工作的工程師名字,該實驗室是位於伊利諾伊州的科學和工程研究實驗室,由 UChicago Argonne LLC 為美國能源部運營.

值得一提的是,幾天前,Check Point 研究人員在 Python 包索引 (PyPI) 上發現了另外十個惡意包,這些軟體包安裝了資訊竊取程式,允許攻擊者竊取開發人員的私人資料和個人憑據。

參考文章:

http://securityaffairs.co/wordpress/134381/security/pypi-package-fileless-linux-malware.html