新 PyPI 包将无文件加密矿工应用于 Linux 系统

Hackernews 编译，转载请注明出处：

现已删除的流氓软件包被推送到Python的官方第三方软件存储库，该软件包可以在Linux系统上部署加密矿工。

该模块名为“secretslib”，在删除前下载了93次，于2022年8月6日发布到Python包索引（PyPI），并被描述为“简化了秘密匹配和验证”。

Sonatype研究人员Ax Sharma上周在一份报告中透露：“经过仔细检查，该软件包在内存中的Linux机器上秘密运行加密矿工（直接从RAM中），这种技术主要被无文件恶意软件和加密器使用。”

它通过在安装后执行从远程服务器检索的Linux可执行文件来实现这一点，其主要任务是将ELF文件（“memfd”）直接放入内存中，该文件充当Monero加密矿工的作用，然后被“secretslib”包删除。

该软件包背后的黑客滥用了阿贡国家实验室（美国能源部资助的实验室）一名合法软件工程师的身份和联系信息，来提高该恶意软件的可信度。

简而言之，这个想法就是在用户不知情或不同意的情况下，将这些被感染的库分配给受信任、受欢迎的维护人员，从而欺骗用户下载它们——这种供应链威胁被称为“package planting”。

PyPi采取措施清除了10个恶意软件包，这些软件包经过精心编排以获取密码和API令牌等关键数据点。