近日发布的 PyPI 库中包含零文件Linux病毒防护工具

据 Security Affairs Web 站点报道称， Sonatype 的研究员们发现了新的PyPI包“secretslib”，旨在将无文件加密矿工投放到 Linux 机器系统的内存中。

网络安全专家发帖子表示，secretslib PyPI 包将自己描述为“使秘密匹配和验证变得容易”。但经过仔细分析观察，该软件包在用户 Linux 机器上暗中运行加密矿工（直接从用户的 RAM 中），这种技术之前主要由使用无加密文件的加密的恶意软件和加密器恶意软件采用。

研究人员发现，“像 memfd_create”这样的 Linux 系统调用使程序员能够在 RAM 中投放 “匿名 ”文件，而不是将文件写入磁盘。这种情况跳过了将恶意文件输出到硬盘的中间步骤，因此防病毒产品可能并不容易主动捕获到还驻留在系统易失性内存中的无文件恶意软件。

此外，由于“secretslib”包在运行时会立即删除“tox”，并且“tox”注入的加密货币代码驻留在系统的易失性内存（RAM）中，而不是硬盘驱动器中，因此恶意活动几乎没有留下任何痕迹，某种意义上讲可以说是相当“隐形”。

值得一提的是，几天前，Check Point 研究人员在 Python 包索引 (PyPI) 上发现了另外十个恶意包，这些软件包安装了信息窃取程序，允许攻击者窃取开发人员的私人数据和个人凭据。在过去的几个月里，该公司一直在努力解决这个问题，但迄今为止，尚未找到一种方法来彻底消除这些恶意软件。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!