SecurityAffairs网站披露,Sonatype研究人员发现了一个名为“secretslib”的新PyPI包,旨在将无文件加密矿工放入Linux机器系统的内存中。自2020年8月6日以来,该软件包自称为“轻松匹配和验证秘密”,已被下载93次。根据网络安全专家的一篇帖子,secretslibPyPI软件包自称为“使秘密匹配和验证变得容易”.但经过仔细分析,我们发现该软件包在用户的Linux机器上(直接从用户的RAM)秘密运行一个加密矿工,这种技术主要被无文件恶意软件和加密程序采用。该软件包从远程服务器获取并执行Linux可执行文件,以将ELF文件(“memfd”)直接放入内存,这是一个可能通过“memfd_create”系统调用创建的门罗币挖矿程序。研究人员发现其他恶意软件包研究人员发现,Linux系统调用“如memfd_create”使程序员能够将“匿名”文件放入RAM而不是将它们写入磁盘。这种情况跳过了将恶意文件输出到硬盘驱动器的中间步骤,因此防病毒产品可能不容易主动捕获同样驻留在系统易失性内存中的无文件恶意软件。此外,由于“secretslib”包在运行时会立即删除“tox”,而“tox”注入的加密代码驻留在系统的易失性内存(RAM)中而不是硬盘中,因此恶意活动几乎不留痕迹,它在某种意义上可以说是相当“隐身”。“secretslib”背后的威胁行为者使用了阿贡国家实验室(ANL.gov)的一名工程师的名字,阿贡国家实验室是位于伊利诺伊州的科学与工程研究实验室,由UChicagoArgonneLLC为美国能源部运营。值得一提的是几天前,CheckPoint研究人员在Python包索引(PyPI)上发现了另外十个恶意包,它们安装了信息窃取程序,允许攻击者窃取开发人员的私人数据和个人凭据。参考文章:https://securityaffairs.co/wordpress/134381/security/pypi-package-fileless-linux-malware.html
