سه بسته مخرب جدید در Python Package Index (PyPI) که یک ابزار مدیریت پکیج زبان برنامهنویسی پایتون میباشد، یافت شد. این بستهها که modularseven، driftme و catme نامگذاری شده، در ماه گذشته 431 دفعه قبل از حذف شدن، توسط کاربران دانلود شدهاند.
به گفته محققین این بستهها، پس از استفاده اولیه، یک CoinMiner قابل اجرا را بر روی سیستمهای لینوکسی مستقر میکنند. کد در فایل "init.py" قرار دارد. این کد وظیفه رمزگشایی و واکشی(fetch) مرحله اولیه از یک سرور راه دور را بر عهده دارد. محتوای واکشی شده یک اسکریپت پوسته (shell script) به نام "unmi.sh" است. سپس این اسکریپت یک فایل پیکربندی جهت استخراج ارز دیجیتال را از GitLab بازیابی میکند. سپس یک فایل باینری ELF با استفاده از دستور nohup در پسزمینه اجرا میشود و اطمینان حاصل میکند که حتی پس از پایان session نیز به فعالیت خود ادامه میدهد. این بستهها، payload خود را در یک URL پنهان میکنند تا شانس شناسایی را کاهش دهند، سپس payload به صورت مرحلهای آزاد میشود و به تدریج فعالیتهای مخرب خود را انجام میدهد. استراتژی به کار رفته در طراحی این بستهها یعنی مخفیکردن کدهای مخرب جهت دانلود و استقرار بدافزار در shell script، نشان از پیشرفت قابل توجهای در این زمینه میباشد. این روش به جلوگیری از تشخیص توسط نرمافزارهای امنیتی کمک میکند و در نتیجه فرآیند بهرهبرداری را طولانی میکند. علاوه بر این، بدافزار دستورات مخرب را در فایل ~/.bashrc وارد میکند. این امر، ماندگاری بدافزار و فعال شدن مجدد آن در دستگاه کاربر را تضمین میکند و به طور موثر مدت زمان عملیات مخفی آن را افزایش میدهد.
توصیههای امنیتی
در صورت مشاهده بستههای modularseven، driftme و catme، فورا اقدام به حذف آنها کنید.
منبع خبر:
https://thehackernews.com/2024/01/beware-3-malicious-pypi-packages-found.html?m=1
- 147