The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.09.2018 12:37  Компрометация репозиториев дополнений к Kodi привела к распространению вредоносного кода

Компания ESET сообщила о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющим майнинг криптовалюты.

Первые вредоносные изменения были добавлены в репозитории ещё в декабре 2017 года и январе 2018 года. Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN судебных разбирательств, касающихся нарушения авторских прав.

Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, которое используется во множестве других дополнений. При добавлении проблемных репозиториев в Kodi, через некоторое время в данных репозиториях появлялся более новый фиктивный выпуск script.module.simplejson. Kodi воспринимал его как легитимное обновление и загружал его. В качестве зависимости вместе с новым фиктивным выпуском этого дополнения в систему пользователя автоматически загружалось ещё одно дополнение script.module.python.requests.

Данное дополнение включало запутанный блок кода, который анализировал текущее программное окружение, загружал соответствующий ему исполняемый файл для майнинга (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU) и удалял себя из системы для заметания следов. Поражались различные системы на базе Windows и Linux.

Для атаки достаточно было прописать проблемный репозиторий в настройки Kodi или установить стороннюю сборку, в которой подобные репозитории были прописаны. Установка дополнений из этих репозиториев не требовалась. Точных инструкций по определению факта компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания нагрузки на CPU.

По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при подключении репозиториев, установке дополнений и использовании сторонних сборок.

Примечательно, что это вторая крупная атака через дополнения к Kodi - первая атака была замечена в начале 2017 года, распространялась через популярное дополнение Exodus и специализировалась на построении ботнета для проведения DDoS-атак.

  1. Главная ссылка к новости (https://www.welivesecurity.com...)
  2. OpenNews: Не исключена подмена MetalKettle, популярного репозитория для медиацентра Kodi
  3. OpenNews: Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры
  4. OpenNews: Состоялся релиз открытого медиацентра Kodi 17.0
  5. OpenNews: Атака на системы с rTorrent для скрытого майнинга криптовалюты
  6. OpenNews: Атака по майнингу криптовалюты на незащищённых серверах PostgreSQL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: kodi, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, 123 (??), 13:12, 14/09/2018 [ответить] [показать ветку] [···]     [к модератору]
  • –4 +/
    Что и стоило ожидать Нелицензиат с высокой долей вероятности приводит к вирусне... весь текст скрыт [показать]
     
     
  • 2.6, Andrey Mitrofanov (?), 13:37, 14/09/2018 [^] [ответить]    [к модератору]  
  • +10 +/
    >> Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам.
    > Что и стоило ожидать. Нелицензиат с высокой долей вероятности приводит к вирусне.

    Кибердружинник?  Сам-то чьих будешь, под прокурорскими или следаками ходишь?

     
     
  • 3.12, 123 (??), 14:19, 14/09/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Неа Все куда проще Линуксоид, пользуюсь преимущественно СПО Оно полностью п... весь текст скрыт [показать]
     
     
  • 4.24, iPony (?), 14:57, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    > Линуксоид, пользуюсь преимущественно СПО.

    Я бы усомнился. Запустить что-то крякнутое под вайном - по моему совершено обычная вещь для многих. При чём с чувством защищенности.

     
     
  • 5.25, 123 (??), 15:14, 14/09/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Согласен, встречается Но выбор все же за нами мараться ли в этом болоте Вот ви... весь текст скрыт [показать]
     
     
  • 6.37, soarin (ok), 18:04, 14/09/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну это не относится к Линуксоид, пользуюсь преимущественно СПО рекомендую к оз... весь текст скрыт [показать]
     
  • 6.38, Аноним (38), 18:06, 14/09/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >Против проприетарии ничего принципиально не имею, считаю что многие вещи стоят своих денеги это нормально.

    Еретик прямо. Ведь скопировать же не украсть?

     
  • 4.49, 11111 (?), 16:49, 15/09/2018 [^] [ответить]    [к модератору]  
  • +/
    >   Неа. Все куда проще. Линуксоид, пользуюсь преимущественно СПО. Оно полностью
    > покрывает 98% потребностей рабочих и домашних нужд взаимодействия с ПК.
    >   Медиа и игры с "белых" сервисов  цифорвой дистрибуции. Это
    > не настолько большие финансовые траты в обмен на вменяемое качество и
    > достаточную безопасность от подобных проблем.

    И дата-майнинг со стороны посредников, ага.
    В общем, классические два стула.


     
  • 1.2, Zenitur (ok), 13:17, 14/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > XvBMC

    Что за зверь?

    > Kodi

    Правильный вектор атаки! Там же аппаратные декодеры h264 и h265. Значит есть видеокарта с поддержкой OpenCL. Это лучше, чем атаковать Raspberry Pi

     
     
  • 2.9, rshadow (ok), 14:04, 14/09/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Наоборот, он стоит на обычных компах, Raspberry Pi и телевизорах. Вообщем обычные бытовые проигрыватели. Там начинка минимальная.
     
     
  • 3.15, Попугай Кеша (?), 14:29, 14/09/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Удивительно сколько телевизоры нагрели на 6800.

    Вообще какой-то паразитизм. Электроэнергию жгут одни, а деньги зарабатывают другие, ценность вообще создают всему этому какие-то дyраки левые.

     
     
  • 4.16, rshadow (ok), 14:31, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    > Удивительно сколько телевизоры нагрели на 6800.

    Да, на 4774 пользователей получется 1,5 бакса всего лишь.

     
  • 1.3, Аноним (3), 13:17, 14/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А идея интересная. Как отреагируют apt и yum, если через какой-нибудь левый PPA или EPEL допустим прислать обновление glibc, заверенное подписью подключенного левого репозитория?
     
     
  • 2.4, Отражение луны (ok), 13:26, 14/09/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    Никак, умные люди не добавляют сторонние apt и yum репозитории.
     
     
  • 3.5, rhel (?), 13:32, 14/09/2018 [^] [ответить]    [к модератору]  
  • –5 +/
    ну и сиди без nginx, умничка
     
     
  • 4.7, Аноним (-), 13:44, 14/09/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    ты такой смешной.

    У тебя свежий nginx? А можно я туда мой майнер еще поставить, раз ты не против?

     
  • 4.42, Michael Shigorin (ok), 21:47, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    > ну и сиди без nginx, умничка

    Так умничка же, а не клиент шараги, радостно кидающей клиентов под предлогом ссанкций.

     
  • 3.10, Аноним (10), 14:09, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    Да ладно. А как жить тогда?
     
     
  • 4.43, Michael Shigorin (ok), 21:48, 14/09/2018 [^] [ответить]     [к модератору]  
  • +/
    На нормальном дистрибутиве репозитории, например На localhost вон хватает CODE... весь текст скрыт [показать]
     
     
  • 5.47, Аноним (47), 08:34, 15/09/2018 [^] [ответить]    [к модератору]  
  • +/
    Спасибо конечно, но я лучше останусь на "протухшем" дебиане. Последний раз пользовался альтом году эдак в 2002 :)
     
  • 5.48, Аноним (48), 09:43, 15/09/2018 [^] [ответить]     [к модератору]  
  • +/
    Михаил исправьте пожалуйста в alt-p8-xfce и будущие сборки отображение раздело... весь текст скрыт [показать]
     
  • 2.40, Аноним (40), 18:48, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    В новости указано что устанавливать что-то из репы не нужно было. Уязвимость в первую очередь в самом Kodi, который при добавлении репы устанавливает какую-то левую херню.
     
  • 1.8, Аноним (8), 14:00, 14/09/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –5 +/
    Ну и причём тут атака на пользователей бла-бла-бла Гораздо логичнее было бы р... весь текст скрыт [показать]
     
     
  • 2.20, Аноним (-), 14:39, 14/09/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    За бесплатно переводы новостей читаешь, еще и гавкаешь?
     
     
  • 3.30, Аноним (8), 16:31, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    > За бесплатно переводы новостей читаешь, еще и гавкаешь?

    Причём здесь переводы и те, кто просто переводит? Какой, вообще, спрос с транслятора? Я говорю про источники информации.

     
  • 2.33, Аноним (3), 17:13, 14/09/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Суть новости не во взломе репозитория, а в том, что просто подключив репозиторий и ничего из него не ставя можно заполучить зловреда.
     
     
  • 3.45, Аноним (8), 00:58, 15/09/2018 [^] [ответить]    [к модератору]  
  • +/
    > просто подключив репозиторий и ничего из него не ставя можно заполучить зловреда

    Это как, если в розетку подадут 380 вместо 220. Основная проблема - взлом самой репы, а не Коди.

     
  • 1.11, Анонимс (?), 14:17, 14/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Все равно большую часть времени тв-приставки простаивают впустую. А так хоть для бедных разработчиков дополнений намайнят немножко деньжат на хлеб с маслом и девочек. А вообще предлагаю все это дело легализовать и заключать публичный договор, что мол так и так в софт встроен майнер, который будет у вас отжирать 10% CPU и 10% GPU. Пользователи получают свободный софт, опенсоурс разработчики накормлены и заняты работой! И все будут довольны!
     
     
  • 2.14, Andrey Mitrofanov (?), 14:23, 14/09/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > Все равно большую часть времени тв-приставки простаивают впустую. А так хоть для
    > бедных разработчиков дополнений намайнят немножко деньжат на хлеб с маслом и
    > девочек. А вообще предлагаю все это дело легализовать и заключать публичный
    > договор, что мол так и так в софт встроен майнер, который
    > будет у вас отжирать 10% CPU и 10% GPU. Пользователи получают
    > свободный софт, опенсоурс разработчики накормлены и заняты работой! И все будут
    > довольны!

    Михалкову не забудь отстегнуть и в отделении по месту прописки зарегистрироваться.

     
  • 2.19, Аноним (-), 14:38, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    А присесть не желаете? Хакерство - уголовно наказуемое деяние. :)
     
     
  • 3.22, Andrey Mitrofanov (?), 14:43, 14/09/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > А присесть не желаете? Хакерство - уголовно наказуемое деяние. :)
    >Хакерство

    Номер статьи скажи? В которой используется именно _это_ _слово_.

    Заодно поищи статью за притворивши лояром, наверное, где-то рядом.........

     
  • 3.27, Аноним (27), 16:00, 14/09/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    в EULA можно писать всё что угодно, пользователь согласился? значит ссзб
     
     
  • 4.29, Аноним84701 (ok), 16:15, 14/09/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > в EULA можно писать всё что угодно,

    Можно. Желательно сразу на туалетной бумаге.
    > пользователь согласился? значит ссзб

    Хватит повторять эти байки. При расхождении с законодательством пункты ЕУЛА (пока еще) считаются недействительными.

     
  • 1.18, Аноним (18), 14:36, 14/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Много намайнят с отключеной сетью? Майнеры мамкины...
     
     
  • 2.23, анон (?), 14:48, 14/09/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    ага, я тоже попкорном только оффлайн пользуюсь
     
  • 2.31, Анонимс (?), 16:57, 14/09/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Много намайнят с отключеной сетью?...

    Майнер распространялся через репозитории для доступа к защищенному контенту и платному IPTV.
    И много вы насмотрите IPTV с отключённой сетью?

     
     
  • 3.46, Аноним (46), 03:27, 15/09/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Распространился - и че дальше? Много намайнит в оффлайне?)
     
  • 1.26, Аноним (26), 15:56, 14/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ребят, простите что не по теме, но никто не в курсе как запустить Dolphin 18.08 в KDE из под root? Вроде бы писали что вернули эту возможность , но sudo dolphin не работает( Заранее благодарю!
     
     
  • 2.34, Аноним (34), 17:47, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    В kde-шном меню есть "диспетчер файлов (в режиме администратора)"
     
  • 2.35, Аноним (35), 17:57, 14/09/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Если ты в генту, то можно просто отредактировать майн 1 ebuild usr portage kde... весь текст скрыт [показать]
     
  • 2.39, тттт (?), 18:25, 14/09/2018 [^] [ответить]    [к модератору]  
  • +/
    попробуй su -
             dolphin

    krusader уже идет в комплекте, работает под рутом и гораздо удобнее для системного доступа.

     
  • 1.36, Аноним (35), 17:58, 14/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Еще можно патч сделать и бросить в /etc/portage/patch
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor