Im PyPI (Python Package Index) wurden mehrere Pakete entdeckt, die Code für das geheime Mining von Kryptowährungen enthalten. Probleme traten in den Paketen maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib und learninglib auf, deren Namen ähnlich wie die beliebte Bibliothek (matplotlib) gewählt wurden, in der Annahme, dass der Benutzer beim Schreiben einen Fehler macht und die Unterschiede nicht bemerkt (Typo-Quoting). Die Pakete wurden im April unter dem Benutzernamen nedog123 veröffentlicht und in zwei Monaten insgesamt etwa 5000 Mal heruntergeladen.
Der Schadcode wurde in der Bibliothek maratlib platziert, die in den anderen Paketen als Abhängigkeit verwendet wurde. Der Schadcode wurde mit einem eigenen Obfuskationsmechanismus verborgen, der von gängigen Tools nicht erkannt wird, und wurde beim Ausführen des Setup-Skripts setup.py, das während der Installation des Pakets ausgeführt wird, gestartet. Aus setup.py wurde ein bash-Skript aza.sh von GitHub heruntergeladen und ausgeführt, das wiederum Mining-Anwendungen für Kryptowährungen wie Ubqminer oder T-Rex herunterlud und startete.
Quelle: opennet.ru
