Pericolo cyber-mining: pacchetto malevolo scoperto su GitLab

Una recente scoperta ha rivelato un pacchetto malevolo chiamato "culturestreak" all'interno di un file Python attivo su GitLab. Questo pacchetto sfrutta le risorse del sistema per il mining non autorizzato della criptovaluta Dero, facendo parte di un'operazione di cryptomining di dimensioni maggiori. Gli esperti di sicurezza di Checkmarx hanno individuato questo pacchetto in un repository attivo sul sito dello sviluppatore di GitLab, creato da un utente chiamato Aldri Terakhir. L'esecuzione di questo pacchetto porta all'utilizzo di risorse di sistema, rallenta il computer e presenta rischi per la sicurezza dei dati.

Minaccia persistente attraverso la catena di approvvigionamento

Questa scoperta evidenzia la minaccia persistente rappresentata dagli attori malevoli che diffondono pacchetti open source compromessi, sfruttando le vulnerabilità dei pacchetti usati dagli sviluppatori per costruire il software. Checkmarx ha anche lanciato un'API specifica per l'intelligence delle minacce, al fine di individuare i pacchetti malevoli prima che raggiungano la catena di approvvigionamento del software. I pacchetti Python in particolare sono stati spesso utilizzati per nascondere carichi malevoli a causa della popolarità di questa piattaforma open source. Gli sviluppatori di Python condividono spesso i propri pacchetti online attraverso repository come GitLab e GitHub, creando così un ecosistema facilmente accessibile per gli attori malevoli.

Tecniche di elusione e distribuzione

Una volta installato, il pacchetto "culturestreak" decodifica alcune stringhe codificate in Base64, in una tecnica di oscuramento spesso utilizzata per nascondere informazioni sensibili o rendere più difficile comprendere l'intento del codice. Inoltre, il pacchetto modifica variabili come HOST, CONFIG e FILE, che vengono utilizzate nelle fasi successive dell'operazione. Il pacchetto malevolo imposta anche la variabile FILE, che rappresenta il nome del file binario scaricato, con un valore compreso tra 1 e 999999. Questa scelta potrebbe essere finalizzata ad ostacolare il rilevamento di file malevoli da parte di antivirus o software di sicurezza basati su convenzioni di denominazione predefinite.

Un "ingranaggio" nella macchina di mining

Il pacchetto "culturestreak" tenta successivamente di scaricare un file binario chiamato "bwt2", che viene salvato nella directory /tmp/, una posizione comune per i file temporanei nei sistemi di tipo Unix. Anche se i ricercatori non sono stati in grado di leggere il contenuto del file binario a causa dell'oscuramento, sono riusciti a decompilarlo per scoprire che era stato compresso con il pacchetto eseguibile UPX nella versione 4.02. Dopo averlo decompresso, è stato identificato un file binario "gcc" che è risultato essere uno strumento ottimizzato noto per il mining della criptovaluta Dero, chiamato "astrominer 1.9.2 R4" su GitHub. Il binario è programmato per eseguirsi ciclicamente, sfruttando URL di pool fissi e indirizzi di portafoglio specifici per il mining della criptovaluta Dero. Questo indica un'intenzione calcolata di sfruttare le risorse del sistema senza autorizzazione, rendendo questa minaccia costante e persistente.

La scoperta del pacchetto malevolo "culturestreak" ci ricorda l'importanza di verificare sempre il codice e i pacchetti da fonti verificate o sospette. Gli sviluppatori dovrebbero seguire fonti di intelligence sulle minacce per rimanere aggiornati sulle potenziali minacce al loro sviluppo software. Checkmarx ha fornito una lista di indicatori di compromissione nel post degli esperti di sicurezza di Checkmarx, per aiutare a individuare se il pacchetto malevolo "culturestreak" sta eseguendo il mining di criptovalute sul proprio sistema.