Sonatypeはこのほど、「PyPI Package 'secretslib' Drops Fileless Linux Malware to Mine Monero」において、Linux上でクリプトマイナーを実行する悪意のあるパッケージがPythonの公式サードパーティソフトウェアリポジトリに展開されたと伝えた。「secretslib」という名のパッケージで、8月6日、PyPI (Python Package Index)リポジトリに公開されていた。

secretslibはインストールされるとすぐに「tox」という実行ファイル(ELFバイナリ)をダウンロードし、実行権限を与え、sudoでそのファイルを実行することがわかった。このファイルのタスクは、Moneroのクリプトマイナーとして機能するELFファイル、「memfd」をメモリにドロップするとされている。さらに、tox自身は実行後にsecretslibによって削除されるとのことだ。

このパッケージを配布したサイバー犯罪者がマルウェアの信頼性を高めるため、米国エネルギー省が出資するアルゴンヌ国立科学研究所で働く正規のソフトウェア技術者の身元と連絡先を悪用していたことも判明している。実際にこのパッケージを公開したのはその研究者ではなかったとされている。

Sonatypeによると、発見されたこの悪意のあるパッケージは研究者によってPyPIレジストリに報告されており、現在は削除されているとのことだ。