The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Компрометация репозиториев дополнений к Kodi привела к распространению вредоносного кода

14.09.2018 12:37

Компания ESET сообщила о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющим майнинг криптовалюты.

Первые вредоносные изменения были добавлены в репозитории ещё в декабре 2017 года и январе 2018 года. Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN судебных разбирательств, касающихся нарушения авторских прав.

Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, которое используется во множестве других дополнений. При добавлении проблемных репозиториев в Kodi, через некоторое время в данных репозиториях появлялся более новый фиктивный выпуск script.module.simplejson. Kodi воспринимал его как легитимное обновление и загружал его. В качестве зависимости вместе с новым фиктивным выпуском этого дополнения в систему пользователя автоматически загружалось ещё одно дополнение script.module.python.requests.

Данное дополнение включало запутанный блок кода, который анализировал текущее программное окружение, загружал соответствующий ему исполняемый файл для майнинга (Win64/CoinMiner.II, Win64/CoinMiner.MK, Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK и Linux/CoinMiner.CU) и удалял себя из системы для заметания следов. Поражались различные системы на базе Windows и Linux.

Для атаки достаточно было прописать проблемный репозиторий в настройки Kodi или установить стороннюю сборку, в которой подобные репозитории были прописаны. Установка дополнений из этих репозиториев не требовалась. Точных инструкций по определению факта компрометации пользовательского окружения не приводится, кроме субъективной оценки возрастания нагрузки на CPU.

По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при подключении репозиториев, установке дополнений и использовании сторонних сборок.

Примечательно, что это вторая крупная атака через дополнения к Kodi - первая атака была замечена в начале 2017 года, распространялась через популярное дополнение Exodus и специализировалась на построении ботнета для проведения DDoS-атак.

  1. Главная ссылка к новости (https://www.welivesecurity.com...)
  2. OpenNews: Не исключена подмена MetalKettle, популярного репозитория для медиацентра Kodi
  3. OpenNews: Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры
  4. OpenNews: Состоялся релиз открытого медиацентра Kodi 17.0
  5. OpenNews: Атака на системы с rTorrent для скрытого майнинга криптовалюты
  6. OpenNews: Атака по майнингу криптовалюты на незащищённых серверах PostgreSQL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49272-kodi
Ключевые слова: kodi, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, 123 (??), 13:12, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    > Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам.

    Что и стоило ожидать. Нелицензиат с высокой долей вероятности приводит к вирусне.

     
     
  • 2.6, Andrey Mitrofanov (?), 13:37, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +10 +/
    >> Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам.
    > Что и стоило ожидать. Нелицензиат с высокой долей вероятности приводит к вирусне.

    Кибердружинник?  Сам-то чьих будешь, под прокурорскими или следаками ходишь?

     
     
  • 3.12, 123 (??), 14:19, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
      Неа. Все куда проще. Линуксоид, пользуюсь преимущественно СПО. Оно полностью покрывает 98% потребностей рабочих и домашних нужд взаимодействия с ПК.

      Медиа и игры с "белых" сервисов  цифорвой дистрибуции. Это не настолько большие финансовые траты в обмен на вменяемое качество и достаточную безопасность от подобных проблем.

      А те кто спит и видит где бы урвать "забесплатно без смс и регистрации", любители торрентов, кряков, онлайн-фильмов с одноголосым переводом и рекламой казинов - целевая аудитория под описанный в статье сценарий заражения. Сегодня майнеры, завтра трояны и шифровальщики.

     
     
  • 4.24, iPony (?), 14:57, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > Линуксоид, пользуюсь преимущественно СПО.

    Я бы усомнился. Запустить что-то крякнутое под вайном - по моему совершено обычная вещь для многих. При чём с чувством защищенности.

     
     
  • 5.25, 123 (??), 15:14, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Согласен, встречается. Но выбор все же за нами мараться ли в этом болоте. Вот виндовый софт мне совсем не требуется, а игры есть в Steam/GOG. В вайне или нативно, но из официальных источников.

    Против проприетарии ничего принципиально не имею, считаю что многие вещи стоят своих денеги это нормально.
    А те что от рождения гумно, или продается по непомерно большим деньгам - должно быть похоронено самим рынком, а не популяризоваться пиратами, до кучи впиливающими туда трояны

     
     
  • 6.37, soarin (ok), 18:04, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > Согласен, встречается. Но выбор все же за нами мараться ли в этом болоте

    Ну это не относится к "Линуксоид, пользуюсь преимущественно СПО"

    рекомендую к ознакомлению https://www.linux.org.ru/polls/polls/11681516

     
  • 6.38, Аноним (38), 18:06, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    >Против проприетарии ничего принципиально не имею, считаю что многие вещи стоят своих денеги это нормально.

    Еретик прямо. Ведь скопировать же не украсть?

     
  • 4.49, 11111 (?), 16:49, 15/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    >   Неа. Все куда проще. Линуксоид, пользуюсь преимущественно СПО. Оно полностью
    > покрывает 98% потребностей рабочих и домашних нужд взаимодействия с ПК.
    >   Медиа и игры с "белых" сервисов  цифорвой дистрибуции. Это
    > не настолько большие финансовые траты в обмен на вменяемое качество и
    > достаточную безопасность от подобных проблем.

    И дата-майнинг со стороны посредников, ага.
    В общем, классические два стула.


     

  • 1.2, Zenitur (ok), 13:17, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > XvBMC

    Что за зверь?

    > Kodi

    Правильный вектор атаки! Там же аппаратные декодеры h264 и h265. Значит есть видеокарта с поддержкой OpenCL. Это лучше, чем атаковать Raspberry Pi

     
     
  • 2.9, rshadow (ok), 14:04, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Наоборот, он стоит на обычных компах, Raspberry Pi и телевизорах. Вообщем обычные бытовые проигрыватели. Там начинка минимальная.
     
     
  • 3.15, Попугай Кеша (?), 14:29, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Удивительно сколько телевизоры нагрели на 6800.

    Вообще какой-то паразитизм. Электроэнергию жгут одни, а деньги зарабатывают другие, ценность вообще создают всему этому какие-то дyраки левые.

     
     
  • 4.16, rshadow (ok), 14:31, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > Удивительно сколько телевизоры нагрели на 6800.

    Да, на 4774 пользователей получется 1,5 бакса всего лишь.

     

  • 1.3, Аноним (3), 13:17, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А идея интересная. Как отреагируют apt и yum, если через какой-нибудь левый PPA или EPEL допустим прислать обновление glibc, заверенное подписью подключенного левого репозитория?
     
     
  • 2.4, Отражение луны (ok), 13:26, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +9 +/
    Никак, умные люди не добавляют сторонние apt и yum репозитории.
     
     
  • 3.5, rhel (?), 13:32, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• –5 +/
    ну и сиди без nginx, умничка
     
     
  • 4.7, Аноним (-), 13:44, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    ты такой смешной.

    У тебя свежий nginx? А можно я туда мой майнер еще поставить, раз ты не против?

     
  • 4.42, Michael Shigorin (ok), 21:47, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > ну и сиди без nginx, умничка

    Так умничка же, а не клиент шараги, радостно кидающей клиентов под предлогом ссанкций.

     
  • 3.10, Аноним (10), 14:09, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Да ладно. А как жить тогда?
     
     
  • 4.43, Michael Shigorin (ok), 21:48, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > Да ладно. А как жить тогда?

    На нормальном дистрибутиве/репозитории, например.  На localhost вон хватает[CODE]rpm file:/var/ftp/pub/Linux/ALT/Sisyphus x86_64 classic
    rpm file:/var/ftp/pub/Linux/ALT/Sisyphus noarch classic
    rpm file:/var/ftp/pub/Linux/ALT/Sisyphus x86_64-i586 classic
    rpm-dir file:/tmp/.private/mike/hasher/repo x86_64 hasher[/CODE]

     
     
  • 5.47, Аноним (47), 08:34, 15/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Спасибо конечно, но я лучше останусь на "протухшем" дебиане. Последний раз пользовался альтом году эдак в 2002 :)
     
  • 5.48, Аноним (48), 09:43, 15/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Михаил исправьте пожалуйста в alt-p8-xfce (и будущие сборки) отображение разделов в файловом менеджере.

    (Пишут в обсуждениях, что нужно установить тулкит или утилиту, но она установлена, а под root не получается войти.)

     
  • 2.40, Аноним (40), 18:48, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    В новости указано что устанавливать что-то из репы не нужно было. Уязвимость в первую очередь в самом Kodi, который при добавлении репы устанавливает какую-то левую херню.
     

  • 1.8, Аноним (8), 14:00, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –5 +/
    > о выявлении вредоносного кода в репозиториях дополнений

    Ну и причём тут "атака на пользователей бла-бла-бла"? Гораздо логичнее было бы рассмотреть как заразили сами репы. Короче - очередной жёлтый заголовок. Пора вводить ответственность на распространителей информации за её неверную подачу.

     
     
  • 2.20, Аноним (-), 14:39, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    За бесплатно переводы новостей читаешь, еще и гавкаешь?
     
     
  • 3.30, Аноним (8), 16:31, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > За бесплатно переводы новостей читаешь, еще и гавкаешь?

    Причём здесь переводы и те, кто просто переводит? Какой, вообще, спрос с транслятора? Я говорю про источники информации.

     
  • 2.33, Аноним (3), 17:13, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Суть новости не во взломе репозитория, а в том, что просто подключив репозиторий и ничего из него не ставя можно заполучить зловреда.
     
     
  • 3.45, Аноним (8), 00:58, 15/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > просто подключив репозиторий и ничего из него не ставя можно заполучить зловреда

    Это как, если в розетку подадут 380 вместо 220. Основная проблема - взлом самой репы, а не Коди.

     

  • 1.11, Анонимс (?), 14:17, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Все равно большую часть времени тв-приставки простаивают впустую. А так хоть для бедных разработчиков дополнений намайнят немножко деньжат на хлеб с маслом и девочек. А вообще предлагаю все это дело легализовать и заключать публичный договор, что мол так и так в софт встроен майнер, который будет у вас отжирать 10% CPU и 10% GPU. Пользователи получают свободный софт, опенсоурс разработчики накормлены и заняты работой! И все будут довольны!
     
     
  • 2.14, Andrey Mitrofanov (?), 14:23, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > Все равно большую часть времени тв-приставки простаивают впустую. А так хоть для
    > бедных разработчиков дополнений намайнят немножко деньжат на хлеб с маслом и
    > девочек. А вообще предлагаю все это дело легализовать и заключать публичный
    > договор, что мол так и так в софт встроен майнер, который
    > будет у вас отжирать 10% CPU и 10% GPU. Пользователи получают
    > свободный софт, опенсоурс разработчики накормлены и заняты работой! И все будут
    > довольны!

    Михалкову не забудь отстегнуть и в отделении по месту прописки зарегистрироваться.

     
  • 2.19, Аноним (-), 14:38, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    А присесть не желаете? Хакерство - уголовно наказуемое деяние. :)
     
     
  • 3.22, Andrey Mitrofanov (?), 14:43, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > А присесть не желаете? Хакерство - уголовно наказуемое деяние. :)
    >Хакерство

    Номер статьи скажи? В которой используется именно _это_ _слово_.

    Заодно поищи статью за притворивши лояром, наверное, где-то рядом.........

     
  • 3.27, Аноним (27), 16:00, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    в EULA можно писать всё что угодно, пользователь согласился? значит ссзб
     
     
  • 4.29, Аноним84701 (ok), 16:15, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > в EULA можно писать всё что угодно,

    Можно. Желательно сразу на туалетной бумаге.
    > пользователь согласился? значит ссзб

    Хватит повторять эти байки. При расхождении с законодательством пункты ЕУЛА (пока еще) считаются недействительными.

     

  • 1.18, Аноним (18), 14:36, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +7 +/
    Много намайнят с отключеной сетью? Майнеры мамкины...
     
     
  • 2.23, анон (?), 14:48, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    ага, я тоже попкорном только оффлайн пользуюсь
     
  • 2.31, Анонимс (?), 16:57, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Много намайнят с отключеной сетью?...

    Майнер распространялся через репозитории для доступа к защищенному контенту и платному IPTV.
    И много вы насмотрите IPTV с отключённой сетью?

     
     
  • 3.46, Аноним (46), 03:27, 15/09/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Распространился - и че дальше? Много намайнит в оффлайне?)
     

  • 1.26, Аноним (26), 15:56, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Ребят, простите что не по теме, но никто не в курсе как запустить Dolphin 18.08 в KDE из под root? Вроде бы писали что вернули эту возможность , но sudo dolphin не работает( Заранее благодарю!
     
     
  • 2.34, Аноним (34), 17:47, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    В kde-шном меню есть "диспетчер файлов (в режиме администратора)"
     
  • 2.35, Аноним (35), 17:57, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Если ты в генту, то можно просто отредактировать майн
    1)
    ebuild /usr/portage/kde-apps/dolphin/dolphin-18.04.3-r1.ebuild unpack prepare
    2) лезешь в папку где у тебя portage_temp/work/src/main.cpp
    3) и ищи там начало мейна (там блок кода который и вырубает дельфин удали его)
    4)
    ebuild /usr/portage/kde-apps/dolphin/dolphin-18.04.3-r1.ebuild compile install qmerge


     
  • 2.39, тттт (?), 18:25, 14/09/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    попробуй su -
             dolphin

    krusader уже идет в комплекте, работает под рутом и гораздо удобнее для системного доступа.

     

  • 1.36, Аноним (35), 17:58, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Еще можно патч сделать и бросить в /etc/portage/patch
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру