Компрометация репозиториев проекта Kodi16.09.2018 16:48

good-penguin.png

Как сообщает компания ESET в репозиториях проекта Kodi (в прошлом XBMC) были обнаружены вредоносные дополнения для скрытого майнинга криптовалюты.

Первым репозиторием, который подвергся заражению был голландский репозиторий XvMBC.

Предположительно, майнер был размещен там в декабре 2017 года. Далее вредоносный код попал в репозиторий Bubbles and Gaia (январь 2018).

Вектором для атаки служило дополнение script.module.simplejson, от которого зависимы множество других дополнений. При добавлении инфицированных репозиториев, через некоторое время, в них появлялось ложное обновление для аддона script.module.simplejson.

Далее, как зависимость для нового вредоносного дополнения, загружался модуль script.module.python.requests. Это, последнее, дополнение анализировало программное окружение хост-системы и загружало соответствующий ему исполняемый код для майнинга криптовалюты Monero (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU). После загрузки исполняемого файла модуль-загрузчик удалял себя из системы для заметания следов.

Заражению подвергались системы на базе Linux и Windows, о заражении систем на базе Android/macOS информации нет.

Существовало 3 способа проникновения вредоноса на машину жертвы:

  • Прописать URL зараженного репозитория.

    Майнер скачивался при обновлении дополнений;

  • Скачать готовую сборку Kodi, которая уже содержит код загрузки майнера;
  • Скачать готовую сборку, содержащую вредоносное дополнение.

    Такая сборка не сможет получать обновление из репозитория, но майнер все равно проникнет в целевую систему.

По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при подключении репозиториев, установке дополнений и использовании сторонних сборок.

В данный момент оба репозитория закрыты по обвинению в нарушении авторских прав, выразившемся в том, что они содержали популярные дополнения (Add-on) через которые пользователи могли получать доступ к нелегальному контенту.

>>> Подробности

©  Linux.org.ru