El paquete PyPI instala cryptominer en sistemas Linux

Se utilizó un paquete PyPI malicioso para instalar un criptominero Monero en sistemas Linux. El paquete en cuestión, secretslib, se envió al repositorio oficial de software de terceros para Python el 6 de agosto de 2022. El paquete se describió como “comparación de secretos y verificación simplificada”. El sistema automatizado de detección de malware de Sonatype marcó a secretslib como potencialmente malicioso. Un análisis posterior demostró que sus sospechas eran correctas. “El paquete ejecuta criptomineros de forma encubierta en la memoria de su máquina Linux (directamente desde su RAM), una técnica empleada en gran medida por el malware sin archivos y los encriptadores”, escribió el investigador de Sonatype Ax Sharma en un informe. Cuando se instala secretslib, descarga un archivo llamado tox, le otorga permisos de ejecución, lo ejecuta con permisos elevados y luego elimina el archivo después de ejecutarse. “Desmontar un ejecutable elimina la información de depuración contenida en él que, de lo contrario, ayudaría a una ingeniería inversa a comprender mejor lo que hace el programa”, explica Sharma. El código malicioso lanzado por tox es un criptominero que extrae la moneda de privacidad Monero. Quienquiera que haya creado secretslib usó el nombre y la información de un ingeniero de software real que trabaja para el laboratorio de investigación de ciencia e ingeniería con sede en Illinois Argonne National Laboratory (ANL). Muchos empleados y asociados de ANL han contribuido legítimamente al registro de PyPI en algún momento. “Quizás esto habría llevado al actor de amenazas a usar la identidad de un empleado real; para engañar a los usuarios y mezclar secretslib entre uno de los paquetes legítimos y seguros publicados anteriormente por los investigadores de ANL”, teoriza Sharma. Afortunadamente, secretslib se descargó menos de 100 veces antes de eliminarlo. (Foto de Quantitatives en Unsplash)

¿Quiere aprender más sobre ciberseguridad y la nube de los líderes de la industria? Eche un vistazo a Cyber ​​Security & Cloud Expo que tendrá lugar en Ámsterdam, California y Londres. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: crypto miner, cryptominer, seguridad cibernética, minero, paquete, pypi, python, secretslib, seguridad