По словам исследователей Sonatype , уже удаленный из PyPI пакет назывался “secretslib”. Описание пакета было максимально странным: “легкие поиск и проверка секретов”.
Проанализировав код secretslib, специалисты не обнаружили ничего, что могло быть связано с поиском и проверкой неких “секретов”. Вместо этого код содержал закодированные инструкции по загрузке файла под названием “tox”, его запуску с привилегиями sudo и удалению после завершения работы. Этот файл развертывал в памяти ELF (исполняемый файл Linux), который являлся криптомайнером.
Однако, это было не самой плохой новостью. Выяснилось, что вредоносный пакет использовал личные данные и контактную информацию реального инженера-программиста, работающего в национальной лаборатории, финансируемой Министерством энергетики США.
Кроме того, специалисты заметили, что файл “tox” был очищен от отладочной информации. По их мнению, это сделано для того, чтобы не дать аналитикам изучить вредоноса.
Стоит заметить, хорошие новости не заставили себя ждать – исследователи Sonatype сообщили о secretslib инженеру, личные данные которого были использованы, после чего вредоносный пакет исчез с PyPI.
Источник: SecurityLab