最近在PyPI 开发人员的公共存储库中发现了三个能够在受感染的Linux设备上部署加密货币挖矿程序的恶意软件包，分别名为“modularseven”、“driftme”和“catme”。这三个软件包引起了安全专家的注意，在上个月从网站上被删除之前，这些软件包已经被下载了 431 次。

Fortinet 的研究员 Gabby Xiong表示， 这些软件包在第一次使用时会将 CoinMiner 可执行文件部署到 Linux 设备上。

恶意代码位于文件“__init__.py”中，该文件从远程服务器解码并提取第一阶段 （ 是一个 shell 脚本（“unmi.sh”）），用于加载挖矿配置文件以及CoinMiner 文件托管在GitLab上。

然后使用“nohup”命令在后台执行 ELF 二进制文件，确保进程在会话注销后继续运行。

Siong 指出，这些软件包与之前类似活动中的“culturestreak”一样，隐藏了有效负载，从而降低了通过将其放置在远程 URL 上来检测恶意代码的可能性。随后，有效负载会分阶段下载到受害者的计算机上以执行恶意活动。

这与之前的“culturestreak”包有一个相同点：配置文件托管在“papiculo[.]net”域上，并且挖掘可执行文件并托管在公共 GitLab 存储库中。

这三个被检测到的恶意软件包会隐藏 shell 脚本中的恶意意图，这有助于逃避防病毒软件的检测。

此外，Siong指出，该恶意软件将恶意命令插入到“~/.bashrc”文件中，这确保了恶意软件在用户设备上能够长时间潜伏并能被重新激活，从而使黑客从中获益。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292435

封面来源于网络，如有侵权请联系删除