Security Affairs 网站披露，Sonatype 研究人员发现了一个名为“secretslib”的新 PyPI 包，旨在将无文件加密矿工投放到 Linux 机器系统的内存中。

据悉，该软件包将自身描述成“轻松匹配和验证秘密”，自 2020 年 8 月 6 日以来，已经有了 93 次下载。

网络安全专家发帖子表示，secretslib PyPI 包将自己描述为“使秘密匹配和验证变得容易”。但经过仔细分析观察，该软件包在用户 Linux 机器上暗中运行加密矿工（直接从用户的 RAM 中），这种技术主要由无文件的恶意软件和加密器采用。

该软件包可以从远程服务器获取 Linux 可执行文件并执行，以将 ELF 文件（“memfd”）直接放入内存中，它是一个可能通过“memfd_create”系统调用创建的门罗币加密矿工。

研究人员发现了其它恶意软件包

研究人员发现，“像 memfd_create”这样的 Linux 系统调用使程序员能够在 RAM 中投放 “匿名 ”文件，而不是将文件写入磁盘。这种情况跳过了将恶意文件输出到硬盘的中间步骤，因此防病毒产品可能并不容易主动捕获到还驻留在系统易失性内存中的无文件恶意软件。

此外，由于“secretslib”包在运行时会立即删除“tox”，并且“tox”注入的加密货币代码驻留在系统的易失性内存（RAM）中，而不是硬盘驱动器中，因此恶意活动几乎没有留下任何痕迹，某种意义上讲可以说是相当“隐形 ”。

“secretslib”背后的威胁攻击者使用了为阿贡国家实验室（ANL.gov）工作的工程师名字，该实验室是位于伊利诺伊州的科学和工程研究实验室，由 UChicago Argonne LLC 为美国能源部运营.

值得一提的是，几天前，Check Point 研究人员在 Python 包索引 (PyPI) 上发现了另外十个恶意包，这些软件包安装了信息窃取程序，允许攻击者窃取开发人员的私人数据和个人凭据。

参考文章：

https://securityaffairs.co/wordpress/134381/security/pypi-package-fileless-linux-malware.html