Một gói giả mạo hiện đã bị loại bỏ được đẩy đến kho lưu trữ phần mềm chính thức của bên thứ ba cho Python đã được tìm thấy để triển khai công cụ mã hóa trên hệ thống Linux.
Mô-đun, được đặt tên là “secretlib” và được tải xuống 93 lần trước khi bị xóa, đã được phát hành lên Chỉ mục gói Python (PyPI) vào ngày 6 tháng 8 năm 2022 và được mô tả là “việc đối sánh và xác minh bí mật được thực hiện dễ dàng.”
Nhà nghiên cứu Ax Sharma của Sonatype đã tiết lộ trong một báo cáo tuần trước: “Khi kiểm tra kỹ hơn, gói này bí mật chạy các công cụ mã hóa trên máy tính Linux trong bộ nhớ của bạn (trực tiếp từ RAM của bạn), một kỹ thuật chủ yếu được sử dụng bởi phần mềm độc hại và mã hóa không lọc”.
Nó đạt được điều này bằng cách thực thi một tệp thực thi Linux được truy xuất từ cài đặt bài đăng trên máy chủ từ xa, có nhiệm vụ chính là thả tệp ELF (“memfd”) trực tiếp vào bộ nhớ có chức năng như một công cụ khai thác tiền điện tử Monero, sau đó nó bị xóa bởi ” gói bí mật “.
“Hoạt động độc hại để lại ít hoặc không có dấu vết và khá ‘vô hình' theo nghĩa pháp lý”, Sharma chỉ ra.
Trên hết, kẻ đe dọa đứng sau gói này đã lạm dụng danh tính và thông tin liên hệ của một kỹ sư phần mềm hợp pháp làm việc cho Phòng thí nghiệm Quốc gia Argonne, một phòng thí nghiệm do Bộ Năng lượng Hoa Kỳ tài trợ để tạo uy tín cho phần mềm độc hại.
Tóm lại, ý tưởng là lừa người dùng tải xuống các thư viện bị nhiễm độc bằng cách gán chúng cho những người bảo trì phổ biến, đáng tin cậy mà không có sự đồng ý hoặc kiến thức của họ – một mối đe dọa chuỗi cung ứng được gọi là trồng gói.
Sự phát triển diễn ra khi PyPi thực hiện các bước để thanh lọc 10 gói độc hại được sắp xếp để thu thập các điểm dữ liệu quan trọng như mật khẩu và mã thông báo API.
.
