Kho mã nguồn mở PyPI bị lợi dụng để cài đặt phần mềm đào tiền ảo

16/06/2015
83
672 bài viết
Kho mã nguồn mở PyPI bị lợi dụng để cài đặt phần mềm đào tiền ảo
Các gói giả mạo với lượt tải khoảng 5.000 lần từ PyPI, kho lưu trữ gói trung tâm của Python, được phát hiện có chứa mã bí mật cài đặt phần mềm đào tiền ảo trên các máy bị nhiễm.

python.png

Thông tin từ nhà nghiên cứu Ax Sharma tại công ty Sonatype. Trong nhiều trường hợp, các gói độc hại chước tên của các gói hợp pháp được sử dụng rộng rãi. Các cuộc tấn công typosquatting (chiếm quyền URL) thành công khi mục tiêu vô tình gõ nhầm tên, chẳng hạn như gõ “mplatlib” hoặc “maratlib” thay vì gói hợp pháp matplotlib.

Theo Sharma, có ít nhất 6 gói cài đặt phần mềm đào tiền ảo sử dụng tài nguyên của các máy tính bị nhiễm để khai thác tiền điện tử và gửi tiền vào ví của kẻ tấn công. Tất cả đều được xuất bản dưới tên người dùng nedog123, trong một số trường hợp là từ đầu tháng 4.

Các gói và số lượt tải xuống là:
  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • learninglib: 626
Mã độc được chứa trong tệp setup.py của mỗi gói, khiến máy tính bị nhiễm sử dụng ubqminer hoặc T-Rex cryptominer để khai thác tiền ảo và gửi tiền vào địa chỉ: 0x510aec7f266557b7de753231820571b13eb31b57.

PyPI là một kho lưu trữ thường xuyên bị lạm dụng kể từ năm 2016. Ngoài PyPI, các kho lưu trữ khác cũng hay bị lạm dụng. Năm ngoái, các gói được tải xuống hàng nghìn lần từ RubyGems đã cài đặt phần mềm độc hại chặn thanh toán bằng bitcoin. Hai năm trước đó, thư viện mã với 2 triệu người dùng trong NPM bị cài backdoor.

Theo Ars Technica
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
pypi python
Bên trên