freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

新的 PyPI 包提供无文件 Linux 恶意软件
2022-08-16 11:23:13
所属地 上海

Security Affairs 网站披露,Sonatype 研究人员发现了一个名为“secretslib”的新 PyPI 包,旨在将无文件加密矿工投放到 Linux 机器系统的内存中。1660620223_62fb0dbf27c35f6340187.jpg!small?1660620223771

据悉,该软件包将自身描述成“轻松匹配和验证秘密”,自 2020 年 8 月 6 日以来,已经有了 93 次下载。

网络安全专家发帖子表示,secretslib PyPI 包将自己描述为“使秘密匹配和验证变得容易”。但经过仔细分析观察,该软件包在用户 Linux 机器上暗中运行加密矿工(直接从用户的 RAM 中),这种技术主要由无文件的恶意软件和加密器采用。

该软件包可以从远程服务器获取 Linux 可执行文件并执行,以将 ELF 文件(“memfd”)直接放入内存中,它是一个可能通过“memfd_create”系统调用创建的门罗币加密矿工。

研究人员发现了其它恶意软件包

研究人员发现,“像 memfd_create”这样的 Linux 系统调用使程序员能够在 RAM 中投放 “匿名 ”文件,而不是将文件写入磁盘。这种情况跳过了将恶意文件输出到硬盘的中间步骤,因此防病毒产品可能并不容易主动捕获到还驻留在系统易失性内存中的无文件恶意软件。

此外,由于“secretslib”包在运行时会立即删除“tox”,并且“tox”注入的加密货币代码驻留在系统的易失性内存(RAM)中,而不是硬盘驱动器中,因此恶意活动几乎没有留下任何痕迹,某种意义上讲可以说是相当“隐形 ”。

“secretslib”背后的威胁攻击者使用了为阿贡国家实验室(ANL.gov)工作的工程师名字,该实验室是位于伊利诺伊州的科学和工程研究实验室,由 UChicago Argonne LLC 为美国能源部运营.

值得一提的是,几天前,Check Point 研究人员在 Python 包索引 (PyPI) 上发现了另外十个恶意包,这些软件包安装了信息窃取程序,允许攻击者窃取开发人员的私人数据和个人凭据。

参考文章:

https://securityaffairs.co/wordpress/134381/security/pypi-package-fileless-linux-malware.html

# 恶意软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录