Компания Sonatype обнаружила пакет PyPI 'secretslib', который описывает себя как "поиск и проверка секретов стали проще". Однако при ближайшем рассмотрении оказывается, что пакет скрытно запускает криптомайнеры на вашей Linux-машине в памяти (непосредственно из оперативной памяти) - техника, которую в основном используют безфайловые вредоносные программы и криптовалюты.
Кроме того, опубликовавший вредоносный пакет, использовал идентификационные и контактные данные реального инженера-программиста национальной лаборатории, работающего в лаборатории, финансируемой Министерством энергетики США, чтобы придать достоверность своей вредоносной программе, но правда в итоге всплыла на поверхность.
На момент выпуска пакет утверждал, что является библиотекой, которая помогает в "подборе и проверке секретов". Как только 'secretslib' устанавливается, он загружает загадочный файл под названием 'tox', предоставляет ему права на выполнение, запускает 'tox' с повышенными правами ("sudo") и удаляет файл после завершения работы.
Вредоносный код, запускаемый "tox" (VirusTotal называет его "memfd"), является криптомайнером Monero. И теперь использование команды "cpulimit" в base64-кодированной инструкции выше стало немного понятнее - криптомайнер, запущенный 'tox', не потребляет чрезмерно много системных ресурсов.
Indicators of Compromise
SHA256
- 180dfc140f249f8a65054c3fed50626f56db30ab499c774fc2a8dc0b1125d6d3
- 7e5f17388903178e15017e6ca0c0c860fa498df6f7e005217e86b9e42301964e