在 PyPI(Python 包索引)目录中,已识别出多个包,其中包含用于隐藏加密货币挖掘的代码。 maratlib、maratlib1、matplatlib-plus、mllearnlib、mplatlib 和learninglib 包中存在问题,这些包的名称被选择为与流行库 (matplotlib) 的拼写相似,预期用户在编写和使用时会犯错误。没有注意到差异(抢注)。 这些软件包于 123 月份在 nedog5 帐户下发布,两个月内总共被下载了约 XNUMX 次。
恶意代码被放置在maratlib库中,该库以依赖项的形式在其他包中使用。 恶意代码使用专有的混淆机制隐藏,标准实用程序无法检测到,并通过执行包安装期间执行的 setup.py 构建脚本来执行。 从 setup.py 中,它是从 GitHub 下载的,并启动了 bash 脚本 aza.sh,该脚本又下载并启动了 Ubqminer 或 T-Rex 加密货币挖掘应用程序。
来源: opennet.ru