LINUX.ORG.RU

Компрометация репозиториев проекта Kodi

 , , , ,


0

2

Как сообщает компания ESET в репозиториях проекта Kodi (в прошлом XBMC) были обнаружены вредоносные дополнения для скрытого майнинга криптовалюты.

Первым репозиторием, который подвергся заражению был голландский репозиторий XvMBC.

Предположительно, майнер был размещен там в декабре 2017 года. Далее вредоносный код попал в репозиторий Bubbles and Gaia (январь 2018).

Вектором для атаки служило дополнение script.module.simplejson, от которого зависимы множество других дополнений. При добавлении инфицированных репозиториев, через некоторое время, в них появлялось ложное обновление для аддона script.module.simplejson.

Далее, как зависимость для нового вредоносного дополнения, загружался модуль script.module.python.requests. Это, последнее, дополнение анализировало программное окружение хост-системы и загружало соответствующий ему исполняемый код для майнинга криптовалюты Monero (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU). После загрузки исполняемого файла модуль-загрузчик удалял себя из системы для заметания следов.

Заражению подвергались системы на базе Linux и Windows, о заражении систем на базе Android/macOS информации нет.

Существовало 3 способа проникновения вредоноса на машину жертвы:

  • Прописать URL зараженного репозитория.

    Майнер скачивался при обновлении дополнений;

  • Скачать готовую сборку Kodi, которая уже содержит код загрузки майнера;
  • Скачать готовую сборку, содержащую вредоносное дополнение.

    Такая сборка не сможет получать обновление из репозитория, но майнер все равно проникнет в целевую систему.

По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при подключении репозиториев, установке дополнений и использовании сторонних сборок.

В данный момент оба репозитория закрыты по обвинению в нарушении авторских прав, выразившемся в том, что они содержали популярные дополнения (Add-on) через которые пользователи могли получать доступ к нелегальному контенту.

>>> Подробности

Ответ на: комментарий от Twissel

А что тут говорить?

Естественно, что в Kodi нету какой-то песочницы или подписей для выполняемых дополнений.

Собственно установка чего попало легко к такому и приводит.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от fornlr

Из них же очень малая горстка гиков использует XBMC с плагинами.

Дело не в проценте, а в изкоробочном удобстве пользования чем-то. Хотя в многоходовку копирастов, чтобы скомпрометировать проект не очень верится.

anonymous_incognito ★★★★★ ()
Последнее исправление: anonymous_incognito (всего исправлений: 1)
Ответ на: комментарий от anonymous_incognito

Дело не в проценте, а в изкоробочном удобстве пользования чем-то.

Ну-ну. В стандартный XBMC это не входит. А что бы что-то готовое получить надо всяко по неочень известным помойкам лазеть.

Чисто для однопроцентных гиков. Не более.

fornlr ★★★★★ ()

А надо было всего-то оставить возможность отключения и не жадничать. Ну и назвать как-нибудь вроде «утилизация %».

anonymous ()
Ответ на: комментарий от anonymous

Да или возвращать процент пользователю. Например через приложение Сбербанк онлайн можно оплачивать услуги ЖКХ. Там есть «человекочитаемый счет». Так вот его можно перебирать читая данные соседей. И вот человек который мне это показал нашел в новом микрорайоне квартиры с огромными счетами за искричество и 0-ми за воду и газ. И предположил, что там майнят и в принципе можно набрать ведро видеокарт (я против противоправных действий если что). На что я ему ответил ГОРАЗДО выгоднее попасть туда и прописать там СВОЙ кошелек в ПО изредка переводя процент в тот кто установил владелец. Логика...

demrnd ()

Вектором для атаки служило дополнение script.module.simplejson, от которого зависимы множество других дополнений. При добавлении инфицированных репозиториев, через некоторое время, в них появлялось ложное обновление для аддона script.module.simplejson.

Далее, как зависимость для нового вредоносного дополнения, загружался модуль script.module.python.requests.

Да-а-а... Когда-то вирусописаки работали исключительно на АСМе, а некоторые и вообще в ТурбоДебаггере в машинных кодах писали(мой однокурсник). Мельчает народ, мельчает...

drfaust ★★★★★ ()

Как узнать когда установлена программа? Что делать? Напишите уже, как с мелдаун и спектрум, способы проверки на наличие вредоноса? Какие дополнения были с вредоносом?

just_a_brake ()

Какая замечательная новость. А я вот сегодня узнал, что у меня eset заражен coinhive.js. И при попытке удаления майнера он опять прописывается в eset, но в другом месте.

EmgrtE ★★ ()
Ответ на: комментарий от EmgrtE

Какая замечательная новость. А я вот сегодня узнал, что у меня eset заражен coinhive.js. И при попытке удаления майнера он опять прописывается в eset, но в другом месте.

Это типо в linux дистрибутиве вирус и антивирус?

just_a_brake ()
Ответ на: комментарий от EmgrtE

Нет, у меня на рабочей машине стоит win10 и eset заражен на ней.

«антивирусы» - главная дырень(работают с рут-правами и везде лезут) + тормозят все и вся. Зачем вы их ставите?

anonymous ()
Ответ на: комментарий от EmgrtE

Нет, у меня на рабочей машине стоит win10 и eset заражен на ней.

А ну понятно, тогда по совету помощников с answer.microsoft — только переустанавливать систему. Вообще, вроде бы есть какой-то антивирус то ли — AVZ, то ли adwcleaner и форум, но я его не смог найти тот, что я видел. Люди там вроде бы разбирались в антивирусах и сами антивирусы, лично у меня удаляли многое.

just_a_brake ()
Ответ на: комментарий от EmgrtE

Затем что для работы проще было использовать win.

Кому как. Я на работу носил свой ноут с Linux и все делал на нем. Win был только для аутлука и еще всякой мерзости. Вообще не понимаю как на этом говне работать...

demrnd ()