新的 PyPI 包提供無檔案 Linux 惡意軟體
Security Affairs 網站披露,Sonatype 研究人員發現了一個名為“secretslib”的新 PyPI 包,旨在將無檔案加密礦工投放到 Linux 機器系統的記憶體中。
據悉,該軟體包將自身描述成“輕鬆匹配和驗證祕密”,自 2020 年 8 月 6 日以來,已經有了 93 次下載。
網路安全專家發帖子表示,secretslib PyPI 包將自己描述為“使祕密匹配和驗證變得容易”。但經過仔細分析觀察,該軟體包在使用者 Linux 機器上暗中執行加密礦工(直接從使用者的 RAM 中),這種技術主要由無檔案的惡意軟體和加密器採用。
該軟體包可以從遠端伺服器獲取 Linux 可執行檔案並執行,以將 ELF 檔案(“memfd”)直接放入記憶體中,它是一個可能通過“memfd_create”系統呼叫建立的門羅幣加密礦工。
研究人員發現了其它惡意軟體包
研究人員發現,“像 memfd_create”這樣的 Linux 系統呼叫使程式設計師能夠在 RAM 中投放 “匿名 ”檔案,而不是將檔案寫入磁碟。這種情況跳過了將惡意檔案輸出到硬碟的中間步驟,因此防病毒產品可能並不容易主動捕獲到還駐留在系統易失性記憶體中的無檔案惡意軟體。
此外,由於“secretslib”包在執行時會立即刪除“tox”,並且“tox”注入的加密貨幣程式碼駐留在系統的易失性記憶體(RAM)中,而不是硬碟驅動器中,因此惡意活動幾乎沒有留下任何痕跡,某種意義上講可以說是相當“隱形 ”。
“secretslib”背後的威脅攻擊者使用了為阿貢國家實驗室(ANL.gov)工作的工程師名字,該實驗室是位於伊利諾伊州的科學和工程研究實驗室,由 UChicago Argonne LLC 為美國能源部運營.
值得一提的是,幾天前,Check Point 研究人員在 Python 包索引 (PyPI) 上發現了另外十個惡意包,這些軟體包安裝了資訊竊取程式,允許攻擊者竊取開發人員的私人資料和個人憑據。
參考文章:
http://securityaffairs.co/wordpress/134381/security/pypi-package-fileless-linux-malware.html
- 勒索軟體BlackByte 帶著2.0 版本回歸了,並建立了一個新的資料洩露網站
- 聊聊新版風險評估的變化
- 2021年,身份欺詐案例創下新記錄
- 攻擊者開發BugDrop惡意軟體,可繞過安卓安全防護
- 一種新型攻擊技術出現,可將PLC武器化
- Realtek爆出關鍵漏洞,影響多款網路裝置
- macOS上的漏洞可能讓攻擊者訪問Mac上的所有檔案
- 新的 PyPI 包提供無檔案 Linux 惡意軟體
- Black Hat 2022公佈14大研究新發現
- 竟然不設密碼!調查發現全球超9000臺VNC 伺服器存暴露風險
- 美國製裁加密貨幣混合,Tornado Cash員工遭逮捕
- 因收集Android 位置資料,Google被罰六千萬美元
- Redis未授權漏洞蜜罐模擬與捕獲分析
- 銀行木馬SOVA捲土重來,或可發起勒索攻擊
- 涉及金額5.4億美元,網路犯罪分子正通過 RenBridge 跨鏈平臺洗錢
- 記錄虎符杯線下決賽flask反序列化及patch思路
- Sophos:首次發現三個勒索軟體連續攻擊同一個網路
- 思科證實被勒索攻擊,洩露資料2.8GB
- CISA警告Windows和UnRAR漏洞在野被利用
- LyScript:一款x64dbg自動化除錯外掛