O Python Package Index , abreviado como PyPI é o repositório de software de terceiros para Python e mais de 113.000 pacotes podem ser acessados por meio dele. Alguns gerenciadores de pacotes, incluindo o pip, usam-no como fonte padrão de pacotes e suas dependências.
O pacote PyPI, secretslib , foi usado para instalar um cryptominerador Monero em sistemas Linux e descrito como “correspondência de segredos e verificação facilitada”.
O sistema automatizado de detecção de malware, da Sonatype, sinalizou o secretslib como potencialmente malicioso. Uma análise mais aprofundada confirmou as suspeitas.
Quando ele é instalado, baixa um arquivo chamado tox e o executa com permissões elevadas, excluindo-o após este processo. Isso é possível porque ele roda secretamente na memória RAM, técnica amplamente empregada por malware e crypters sem arquivo.
O código malicioso descartado pelo tox é um criptominerador que extrai a moeda de privacidade Monero. Sua remoção destrói as informações de depuração contidas nele que ajudariam a entender melhor o que ele faz.
Quem criou o secretslib usou o nome e as informações de um engenheiro de software real que trabalha para o laboratório de pesquisa de ciência e engenharia Argonne National Laboratory (ANL) de Illinois. Muitos funcionários e associados da ANL contribuíram legitimamente para o registro PyPI em algum momento.
PS 1: como sempre, muito cuidado com repositórios não oficiais.