Crypto miner rilasciato su Linux tramite PyPI Packages artefatti

Tre nuovi pacchetti dannosi sono stati scoperti nel repository open source PyPI (Python Package Index) dai ricercatori FortiGuard. Denominati modularseven, driftme e catme i tre package, che hanno totalizzato oltre 400 download prima di essere rimossi, avevano capacità di distribuire un crypto miner sui dispositivi Linux colpiti per estrarre crypto monete ad insaputa dell’utente vittima.

Somiglianze con il pacchetto culturestreak

Sfruttando il nostro database storico di malware, abbiamo notato che gli indicatori di compromissione (IoC) per questi pacchetti somigliano al pacchetto PyPI “culturestreak” scoperto all’inizio di settembre“, commenta l’esperto Gabby Xiong, aggiungendo che le somiglianze con tale pacchetto deriverebbero anche dal fatto che il file di configurazione si trovavano sul dominio “papiculo[.]net” e gli eseguibili del miner su un repository GitLab pubblico.

Il rilascio del miner in più fasi

Questi pacchetti come “culturestreak” nascondevano il carico utile su di un URL remoto, riducendone di fatto la rilevabilità, rilasciandolo in modo incrementale in varie fasi. Infatti nella prima fase il codice dannoso “_init_.py”, decodificava e recuperava uno script shell (“unmi.sh”) da un server remoto, che a sua volta per la seconda fase recuperava sia il file di configurazione per l’attività di mining “config.json” che l’eseguibile CoinMiner ospitato su GitLab (hxxps://gitlab.com/ajo9082734/Mine/-/raw/main/X). Nello specifico la configurazione determinava l’algoritmo di mining (randomX), le impostazioni del dispositivo per le operazioni di mining, i pool miner e l’account wallet controllato dall’attaccante. Infine il file binario ELF veniva eseguito in background utilizzando il comando “nohup” garantendone così la persistenza.

Le migliorie riscontrate

L’analisi FortiGuard avrebbe rilevato anche un miglioramento notevole nei tre nuovi pacchetti rispetto a culturestreak con l’introduzione di una fase aggiuntiva, in cui i comandi cruciali per le operazioni dannose venivano archiviati nello script shell “unmi.sh” per eludere il rilevamento oltre ad inserire altri comandi nel file “~/.bashrc” estendendo il processo di sfruttamento e persistenza.

Conclusioni

Secondo FortiGuard la tattica impiegata dagli attori malevoli che consiste nel suddividere l’intero flusso di infezione in più fasi rilasciate in modo incrementale deve far riflettere tutta la comunità della sicurezza sulla importanza di essere capaci a rilevare attività subdole come queste oltre a ricordare l’importanza fondamentale di esaminare attentamente codice e pacchetti provenienti da fonti non verificate e di mantenersi sempre aggiornati sulle potenziali minacce.

Ulteriori dettagli possono essere consultati sul rapporto.

Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.