Foram descobertos três novos pacotes maliciosos no repositório de código aberto Python Package Index (PyPI), com capacidades para implantar um minerador de criptomoedas em dispositivos Linux afetados. Os pacotes prejudiciais, chamados modularseven, driftme e catme, atraíram um total de 431 downloads no último mês antes de serem removidos.

“Esses pacotes, ao serem usados inicialmente, implantam um executável CoinMiner em dispositivos Linux”, disse Gabby Xiong, pesquisadora da Fortinet FortiGuard Labs, acrescentando que a campanha compartilha semelhanças com uma campanha anterior que envolveu o uso de um pacote chamado culturestreak para implantar um minerador de criptomoedas.

O código malicioso reside no arquivo init.py, que decodifica e recupera o primeiro estágio de um servidor remoto, um script de shell (“unmi.sh”) que busca um arquivo de configuração para a atividade de mineração, bem como o arquivo CoinMiner hospedado no GitLab.

O arquivo binário ELF é então executado em segundo plano usando o comando nohup, garantindo que o processo continue a ser executado após a saída da sessão.