В открытом репозитории для разработчиков PyPI недавно были обнаружены три вредоносных пакета, способных развёртывать майнер криптовалют на заражённых устройствах Linux. Пакеты с названиями “modularseven”, “driftme” и “catme” привлекли внимание специалистов безопасности, будучи скачанными 431 раз за последний месяц, прежде чем были удалены с площадки.
Габби Сионг, исследователь компании Fortinet, сообщил , что эти пакеты при первом использовании развёртывают исполняемый файл CoinMiner на устройствах Linux.
Вредоносный код располагается в файле “__init__.py”, который декодирует и извлекает первую стадию с удалённого сервера – это shell-скрипт (“unmi.sh”), который загружает конфигурационный файл для майнинга, а также файл CoinMiner, размещённый на GitLab.
Затем ELF-бинарный файл выполняется в фоновом режиме с использованием команды “nohup”, что обеспечивает продолжение работы процесса после выхода из сессии.
Сионг отмечает, что эти пакеты, подобно “culturestreak” из предыдущей подобной кампании, скрывают полезную нагрузку, тем самым уменьшая возможность обнаружения вредоносного кода за счёт его размещения на удалённом
Изначально URL был изобретен для обозначения местоположения различных файлов в Интернете, и только со временем стал использоваться для того, чтобы обозначать адреса всех ресурсов, независимо от их типа.