主页保安恶意 PyPI 包违反了加密矿机

恶意 PyPI 包违反了加密矿机

最近几天,在网络上检测到了许多恶意包 PyPI 存储库 蟒蛇 项目 哪里 将开发人员工作站变成了加密矿机。

另请参阅: Python软件包索引(PyPI)和GitLab受到垃圾邮件攻击

cryptomining

所有恶意软件包都是从同一个帐户发布的,并诱使各种开发人员下载它们 数千次,使用合法 Python 项目的名称,但是拼写错误。

共XNUMX个包含恶意代码的包被渗透 Python 包索引 (PyPI) 在四月份:

  • 马拉特利卜
  • maratlib1
  • matplatlib-plus
  • 学习库
  • 平台库
  • 学习库

六个都来自用户“nedog123”,其中大部分名称都与合法绘图软件有关, matplotlib (但拼写不正确)。

Ο 斧头夏尔马, 公司安全研究员 声纳型,分析了“maratlib”包,注意到它被使用 作为对其他恶意元素的依赖.

对于这些包中的每一个,恶意代码都包含在 setup.py 文件中,该文件是安装包时运行的构建脚本。”,研究人员写道。

研究人员在分析包的同时,还发现 maratlib 试图下载一个 Bash脚本 (aza2.sh) 来自不再可用的 GitHub 存储库。

通过他的分析,Sharma 发现脚本的作用是运行一个 cryptominer 称为“优步矿工在受感染的计算机上。

另请参阅: 黑客在未打补丁的Microsoft Exchange服务器上安装加密矿恶意软件

PyPI 恶意包
恶意 PyPI 包违反了加密矿机

研究人员还提到,它的创造者 恶意软件 将默认的 Kryptex 钱包地址替换为自己的 Ubiq 加密货币挖矿 (UBQ)。

在另一个变体中,该脚本包括一个不同的加密程序,它使用 GPU 功能,即开源 T-Rex。

另请参阅: Windows和Linux设备受到新的加密蠕虫的攻击

攻击者通常以开源代码库为目标,例如 PyPI,NodeJS 的 NPM ή 红宝石.

在这种情况下,Sonatype 在使用自动恶意软件检测系统扫描 PyPI 存储库后检测到六个恶意包, 发布完整性. 到他们被定位时,恶意包几乎已经组装好了 5.000 次下载 (自 2.371 月以来),“maratlib”记录的下载量最高,为 XNUMX。

资料来源:Bleeping Computer

数字要塞https://www.secnews.gr
追求梦想与生活!
spot_img

实时新闻