นักวิจัยด้านความปลอดภัยค้นพบแพ็คเกจ PyPI ปลอมตัวใหม่ที่ชื่อว่า 'secretslib' ที่ถูกออกแบบมาเพื่อวาง fileless cryptominer บนระบบปฏิบัติการ Linux โดย "secretslib" ถูกดาวน์โหลดไปแล้ว 93 ครั้งก่อนที่จะถูกลบ ถูกเผยแพร่ใน Python Package Index (PyPI) ตั้งแต่เมื่อวันที่ 6 สิงหาคม พ.ศ. 2565 Axe Sharma นักวิจัยจาก Sonatype ได้ระบุในรายงานการตรวจสอบว่า แพ็คเกจดังกล่าวจะแอบเรียกใช้ cryptominers บนหน่วยความจำบนเครื่องของเหยื่อโดยตรง ซึ่งเป็นเทคนิคที่มักถูกใช้จากพวก Fileless มัลแวร์ โดยมันจะเรียกใช้ Linux executable file ที่ถูกดาวน์โหลดมาจากเซิร์ฟเวอร์ภายนอกที่ชื่อว่า "memfd" ซึ่งจริงๆแล้วคือ Monero cryptominer

โดยผู้ที่อยู่เบื้องหลังแพ็คเกจดังกล่าวมีการใช้ข้อมูลระบุตัวตน และข้อมูลติดต่อของวิศวกรซอฟต์แวร์ที่น่าเชื่อถือที่ทำงานให้กับ Argonne National Laboratory ซึ่งเป็นห้องปฏิบัติการที่ได้รับทุนสนับสนุนจากกระทรวงพลังงานของสหรัฐฯ เพื่อให้แพ็คเกจดังกล่าวมีความน่าเชื่อถือ เมื่อไม่กี่วันก่อน นักวิจัย Check Point พึ่งค้นพบแพ็คเกจที่เป็นอันตรายอีก 10 แพ็คเกจใน Python Package Index (PyPI) โดยแพ็คเกจจะทำให้ผู้โจมตีสามารถขโมยข้อมูลส่วนตัวของนักพัฒนาได้

ที่มา : thehackernews.