Pracovníci firmy Aqua Security objevili škodlivý kód pro Linux Koske. Ten se do počítače dostane přes špatně nakonfigurovaný JupyterLab (RCE patrně CVE-2024–39700 či CVE-2021–32797, CVE-2021–32798) . Kód pak stáhne dva obrázky pand, ve kterých je ukryt škodlivý kód.
Nejde o steganografii, ale o tzv. soubor polyglot, který je možné interpretovat jako validní JPEG, který má na konci škodlivý kód v C nebo v shellu. Jedním důvodem může být snadnější distribuce obrázků přes bezplatné platformy freeimage, postimage a OVH images. Druhým pak snaha o ztížení detekce.
Škodlivý kód se poté usadí v systému a těží kryptoměnu. Za zmínku stojí, že útok na Jupyter je veden ze srbské IP adresy a miner se stahuje z GitHubu z účtu vozstanica , což bylo nesprávně označeno jako slovenský výraz pro železniční stanici. Přitom jde patrně o výraz opět srbský.
(zdroj: bleepingcomputer)
