Scoperta l’infiltrazione di miner di criptovaluta in pacchetti PyPI che mirano ai sistemi Linux.
In tempi di crescente dipendenza dai sistemi digitali, la sicurezza informatica assume un ruolo sempre più cruciale nel proteggere infrastrutture e utenti da attacchi maligni. Recentemente, esperti di cyber security hanno identificato tre pacchetti dannosi nel repository open-source PyPI, che celano al loro interno dei miner di criptovalute, attivi all’insaputa dei loro installatori.
Il team di Fortinet, rinomato per la sua competenza nel campo della cyber security, ha esposto questi pacchetti denominati modularseven, driftme e catme. Creati per prendere di mira i sistemi operativi Linux, i pacchetti sono stati diffusi da un autore, noto come “sastra”, che ha aperto un account su PyPI poco prima di caricare tali pacchetti. Nonostante il loro tentativo di rimanere celati, questi pacchetti hanno raccolto più di 400 download prima della loro rimozione dal repository.
Gli indicatori di compromissione (IoC) associati a questi pacchetti corrispondono a quelli rilevati precedentemente per il pacchetto “culturestreak” su PyPI, segno di una strategia ripetuta di attacco. All’interno dei pacchetti dannosi, il codice malevolo veniva attivato mediante l’istruzione “import” nel file __init__.py, dando il via alla prima fase della catena di attacco implementata nel modulo processor.py.
Questo codice decodificava e recuperava uno script shell denominato “unmi.sh” da un server remoto, che a sua volta prelevava un file di configurazione per l’attività di mining, oltre al file eseguibile CoinMiner, ospitato su GitLab. I malintenzionati utilizzavano il comando “nohup” per eseguire questa operazione in background, garantendo che il processo di mining rimanesse attivo anche oltre la chiusura delle sessioni del terminale, e assicurando la persistenza del malware mediante opportune modifiche al file ~/.bashrc.
L’insidia principale di questi pacchetti sta anche nel permettere all’attaccante di scaricare componenti critici sul dispositivo dell’utente senza che questi se ne accorga, inclusi file di configurazione essenziali per l’esecuzione dell’operazione di mining. Questa tattica affina le probabilità di eludere la rilevazione da parte delle soluzioni di sicurezza, offrendo agli attaccanti un maggiore controllo sulla diffusione del codice dannoso, semplicemente disattivando il server che ospita lo script “unmi.sh”.
Quest’efferata tattica solleva serie preoccupazioni per gli sviluppatori e gli utenti finali che si affidano a repository come PyPI per moduli e pacchetti di codice. Tale scoperta sottolinea l’importanza di continuare a vigilare sulla privacy e sui procedimenti di sicurezza delle informazioni, adottando sempre misure avanzate di protezione dei dati e dei sistemi.