2022-08-23 20:00:13
В репозиториях PyPI и npm нашли более 200 пакетов со скрытыми майнерами для GNU/Linux-систем
Первым проблему заметил независимый ИБ-исследователь Хауке Любберс, который нашел «как минимум 33 пакета» в PyPI, которые запускали майнер XMRig, добывающий криптовалюту Monero.
Для их распространения использовался тайпсквоттинг, то есть пакеты загружались в том случае, если пользователь опечатался в названии настоящего популярного пакета (так как разработчики обычно загружают пакеты через терминал, опечатки встречаются часто).
Например, вредоносы имитировали React, argparse и AIOHTTP.
Пока Любберс уведомлял о своей находке администрацию PyPI, был загружен еще один набор из 22 пакетов со скрытыми майнерами.
Все пакеты были ориентированы на GNU/Linux-системы и содержали фрагмент кода, который загружал Bash-скрипт с сервера злоумышленника посредством сервиса сокращения URL-адресов Bit.ly. После выполнения данный скрипт уведомляет своего оператора об IP-адресе скомпрометированного хоста и об успешном развертывании майнера.
Практически одновременно с Хауке Любберсом аналитики из компании Sonatype обнаружили в npm еще 186 вредоносных пакетов, связанных с тем же URL-адресом для загрузки вредоносного Bash-скрипта.
На данный момент вредоносные пакеты удалены, но никто не гарантирует, что аналогичные атаки не повторятся снова.
538 views17:00