Sonatype обнаружила вредоносные пакеты в каталоге PyPI

В каталоге PyPI выявлено несколько пакетов, включающих код для скрытого майнинга криптовалюты. Проблемы присутствовали в пакетах maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib и learninglib, имена которых выбраны похожими по написанию на популярные библиотеки (matplotlib) с расчётом, что пользователь ошибётся при написании и не заметит отличий (тайпсквоттинг). Пакеты были размещены в апреле под учётной записью nedog123 и за два месяца в сумме были загружены около 5 тысяч раз.

Вредоносный код был размещён в библиотеке maratlib, которая использовалась в остальных пакетах в форме зависимости. Вредоносный код был скрыт с использованием собственного механизма обфускации, не определяемого типовыми утилитами, и запускался при выполнении сборочного скрипта setup.py, выполняемого во время установки пакета. Из setup.py загружался с GitHub и запускался bash-скрипт aza.sh, который в свою очередь загружал и запускал приложения для майнинга криптовалют Ubqminer или T-Rex.

Sonatype has identified malicious typosquatting packages infiltrating the PyPI repository that secretly pull in cryptominers on the affected machines.

These PyPI packages are listed below, together scoring almost 5,000 downloads:

• maratlib
• maratlib1
• matplatlib-plus
• mllearnlib
• mplatlib
• learninglib

All of these were posted by the same author (“nedog123”) on PyPI, some as early as April of this year.

These counterfeit components were discovered by Sonatype’s automated malware detection system, Release Integrity, which is part of our next-gen Nexus Intelligence engine.

Другие новости