Исследователи обнаружили PyPI-пакет, запускающий майнер в памяти устройств на Linux
Злоумышленники использовали личные данные реального человека, чтобы пакет выглядел надежнее.
По словам исследователей Sonatype , уже удаленный из PyPI пакет назывался "secretslib". Описание пакета было максимально странным: “легкие поиск и проверка секретов”.
Проанализировав код secretslib, специалисты не обнаружили ничего, что могло быть связано с поиском и проверкой неких “секретов”. Вместо этого код содержал закодированные инструкции по загрузке файла под названием "tox", его запуску с привилегиями sudo и удалению после завершения работы. Этот файл развертывал в памяти ELF (исполняемый файл Linux), который являлся криптомайнером.
Однако, это было не самой плохой новостью. Выяснилось, что вредоносный пакет использовал личные данные и контактную информацию реального инженера-программиста, работающего в национальной лаборатории, финансируемой Министерством энергетики США.
