网络安全公司AquaSec近日发现了一种新型Linux恶意软件Koske,该软件通过表面无害的熊猫JPEG图片,将恶意程序注入系统内存。这一手法利用了在线暴露的JupyterLab实例配置不当,攻击者可远程执行命令获取初步控制权。
Koske的主要目的是部署经过CPU与GPU优化的加密货币挖矿程序,最多可同时挖掘18种不同的数字货币。AquaSec研究人员指出,这批攻击利用了塞尔维亚地区的IP地址、脚本中的塞尔维亚短语以及矿工在GitHub上呈现的斯洛伐克语内容,但尚不确定幕后黑手归属。
技术细节显示,攻击者下载了两张托管于正规服务平台(如OVH images、freeimage和postimage)的熊猫照片,每一张图片都含有一个恶意载荷。图片同时兼容多种格式,既能作为图片正常显示,也包含可被脚本解析器执行的shell代码与C语言代码。用户看到的或许只是可爱的熊猫,但若被系统脚本处理,则会激活后门操作。
据介绍,一份载荷为C代码,直接写入内存并编译为共享对象,具有rootkit功能;另一份为shell脚本,通过Linux原生命令在内存中执行,利用cron和systemd服务机制实现持久化,并通过多种手段规避检测。安全专家提醒,管理员应关注JupyterLab等管理面板的暴露风险,及时修补并开启访问控制。