WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Kho mã nguồn mở PyPI bị lợi dụng để cài đặt phần mềm đào tiền ảo
Các gói giả mạo với lượt tải khoảng 5.000 lần từ PyPI, kho lưu trữ gói trung tâm của Python, được phát hiện có chứa mã bí mật cài đặt phần mềm đào tiền ảo trên các máy bị nhiễm.
Thông tin từ nhà nghiên cứu Ax Sharma tại công ty Sonatype. Trong nhiều trường hợp, các gói độc hại chước tên của các gói hợp pháp được sử dụng rộng rãi. Các cuộc tấn công typosquatting (chiếm quyền URL) thành công khi mục tiêu vô tình gõ nhầm tên, chẳng hạn như gõ “mplatlib” hoặc “maratlib” thay vì gói hợp pháp matplotlib.
Theo Sharma, có ít nhất 6 gói cài đặt phần mềm đào tiền ảo sử dụng tài nguyên của các máy tính bị nhiễm để khai thác tiền điện tử và gửi tiền vào ví của kẻ tấn công. Tất cả đều được xuất bản dưới tên người dùng nedog123, trong một số trường hợp là từ đầu tháng 4.
Các gói và số lượt tải xuống là:
PyPI là một kho lưu trữ thường xuyên bị lạm dụng kể từ năm 2016. Ngoài PyPI, các kho lưu trữ khác cũng hay bị lạm dụng. Năm ngoái, các gói được tải xuống hàng nghìn lần từ RubyGems đã cài đặt phần mềm độc hại chặn thanh toán bằng bitcoin. Hai năm trước đó, thư viện mã với 2 triệu người dùng trong NPM bị cài backdoor.
Thông tin từ nhà nghiên cứu Ax Sharma tại công ty Sonatype. Trong nhiều trường hợp, các gói độc hại chước tên của các gói hợp pháp được sử dụng rộng rãi. Các cuộc tấn công typosquatting (chiếm quyền URL) thành công khi mục tiêu vô tình gõ nhầm tên, chẳng hạn như gõ “mplatlib” hoặc “maratlib” thay vì gói hợp pháp matplotlib.
Theo Sharma, có ít nhất 6 gói cài đặt phần mềm đào tiền ảo sử dụng tài nguyên của các máy tính bị nhiễm để khai thác tiền điện tử và gửi tiền vào ví của kẻ tấn công. Tất cả đều được xuất bản dưới tên người dùng nedog123, trong một số trường hợp là từ đầu tháng 4.
Các gói và số lượt tải xuống là:
- maratlib: 2,371
- maratlib1: 379
- matplatlib-plus: 913
- mllearnlib: 305
- mplatlib: 318
- learninglib: 626
PyPI là một kho lưu trữ thường xuyên bị lạm dụng kể từ năm 2016. Ngoài PyPI, các kho lưu trữ khác cũng hay bị lạm dụng. Năm ngoái, các gói được tải xuống hàng nghìn lần từ RubyGems đã cài đặt phần mềm độc hại chặn thanh toán bằng bitcoin. Hai năm trước đó, thư viện mã với 2 triệu người dùng trong NPM bị cài backdoor.
Theo Ars Technica