Исследователи обнаружили PyPI-пакет, запускающий майнер в памяти устройств на Linux
Злоумышленники использовали личные данные реального человека, чтобы пакет выглядел надежнее.
По словам исследователей Sonatype , уже удаленный из PyPI пакет назывался "secretslib". Описание пакета было максимально странным: “легкие поиск и проверка секретов”.
Проанализировав код secretslib, специалисты не обнаружили ничего, что могло быть связано с поиском и проверкой неких “секретов”. Вместо этого код содержал закодированные инструкции по загрузке файла под названием "tox", его запуску с привилегиями sudo и удалению после завершения работы. Этот файл развертывал в памяти ELF (исполняемый файл Linux), который являлся криптомайнером.
Однако, это было не самой плохой новостью. Выяснилось, что вредоносный пакет использовал личные данные и контактную информацию реального инженера-программиста, работающего в национальной лаборатории, финансируемой Министерством энергетики США.
Кроме того, специалисты заметили, что файл “tox” был очищен от отладочной информации. По их мнению, это сделано для того, чтобы не дать аналитикам изучить вредоноса.
Стоит заметить, хорошие новости не заставили себя ждать – исследователи Sonatype сообщили о secretslib инженеру, личные данные которого были использованы, после чего вредоносный пакет исчез с PyPI.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!