新的 PyPI 包提供无文件 Linux 恶意软件
Security Affairs 网站披露,Sonatype 研究人员发现了一个名为“secretslib”的新 PyPI 包,旨在将无文件加密矿工投放到 Linux 机器系统的内存中。
据悉,该软件包将自身描述成“轻松匹配和验证秘密”,自 2020 年 8 月 6 日以来,已经有了 93 次下载。
网络安全专家发帖子表示,secretslib PyPI 包将自己描述为“使秘密匹配和验证变得容易”。但经过仔细分析观察,该软件包在用户 Linux 机器上暗中运行加密矿工(直接从用户的 RAM 中),这种技术主要由无文件的恶意软件和加密器采用。
该软件包可以从远程服务器获取 Linux 可执行文件并执行,以将 ELF 文件(“memfd”)直接放入内存中,它是一个可能通过“memfd_create”系统调用创建的门罗币加密矿工。
研究人员发现了其它恶意软件包
研究人员发现,“像 memfd_create”这样的 Linux 系统调用使程序员能够在 RAM 中投放 “匿名 ”文件,而不是将文件写入磁盘。这种情况跳过了将恶意文件输出到硬盘的中间步骤,因此防病毒产品可能并不容易主动捕获到还驻留在系统易失性内存中的无文件恶意软件。
此外,由于“secretslib”包在运行时会立即删除“tox”,并且“tox”注入的加密货币代码驻留在系统的易失性内存(RAM)中,而不是硬盘驱动器中,因此恶意活动几乎没有留下任何痕迹,某种意义上讲可以说是相当“隐形 ”。
“secretslib”背后的威胁攻击者使用了为阿贡国家实验室(ANL.gov)工作的工程师名字,该实验室是位于伊利诺伊州的科学和工程研究实验室,由 UChicago Argonne LLC 为美国能源部运营.
值得一提的是,几天前,Check Point 研究人员在 Python 包索引 (PyPI) 上发现了另外十个恶意包,这些软件包安装了信息窃取程序,允许攻击者窃取开发人员的私人数据和个人凭据。
参考文章:
https://securityaffairs.co/wordpress/134381/security/pypi-package-fileless-linux-malware.html
精彩推荐
相关文章
- linux怎么退出文件编辑模式
- Linux解压Z文件: 小白快速上手(linux解压.z文件)
- Linux下如何为文件设置权限(linux给文件赋予权限)
- Linux下快速查看服务器主机信息(linux查看主机信息)
- Linux下的短信猫:串口控制的传感器连接(linux短信猫串口)
- Linux查找空文件:一种更快捷的方法(linux查找空文件)
- Linux安全:利用入侵检测工具保卫系统(linux入侵检测工具)
- 型号Linux系统查看CPU型号的方法(linux如何看cpu)
- 如何在Linux系统中删除文件(如何删除文件linux)
- Linux下更改文件所有者的技巧(linux更改所有者)
- 文件Linux系统中按时间删除文件的方法(linux按时间删除)
- Linux:对未知的探索(linux未定义的引用)
- Linux分支:从源头谈起(linux的分支)
- 自学Linux:简单而有效的技术(怎么自学linux)
- Linux发展史:从分支到整合(linux的分支)
- Linux之父发布分支系统新版本(linux的分支)
- 文件块管理:Linux 实战机密(linux文件块)
- 破解Linux系统的软件下载(linux下下载软件)
- Linux .so文件详解:如何安装及使用(linux.so)
- 服务Linux重启NFS服务的简单步骤(linux重启nfs)
- 如何使用Linux命令安装jar文件(linux安装jar命令)
- Linux版百度网盘:为你提供全新的存储体验(百度网盘linux版)
- 使用Linux脚本进行文件备份:快速、简单、高效(linux脚本备份)
- 系统Linux A文件系统:极大提高存储效率(linux a文件)
- Linux下FTP搭建:快速稳定实现文件上传下载(linux下ftp搭建)
- Linux系统:优雅、强大、全新选择(linux系统 选择)
- Linux查找包含指定文字的文件(linux查找指定文件)