【安全资讯】新型Koske Linux恶意软件伪装成熊猫图片传播

概要：

网络安全公司AquaSec发现一种名为Koske的新型Linux恶意软件，该软件利用可爱的熊猫JPEG图片作为载体，通过多格式文件技术隐藏恶意负载，直接部署到系统内存中。研究人员怀疑该恶意软件可能借助大型语言模型（LLMs）或自动化框架开发，具有高度自适应性和自动化能力，主要目的是部署优化的加密货币挖矿程序，利用受害主机的计算资源挖掘超过18种不同的加密货币。

主要内容：

Koske恶意软件的初始访问是通过利用暴露在互联网上的JupyterLab实例的错误配置来实现命令执行。攻击者随后从OVH images等合法服务下载两张熊猫JPEG图片，这些图片实际上是多格式文件，既可作为图像显示，又可作为脚本执行。当用户打开图片时，会看到可爱的熊猫图像，而脚本解释器则会执行文件末尾附加的恶意代码。

AquaSec发现攻击中隐藏了两个并行启动的负载：一个是直接写入内存的C代码，编译后作为共享对象.so文件执行，充当rootkit；另一个是同样从内存执行的shell脚本，利用标准系统工具隐秘运行并保持持久性。shell脚本通过滥用原生Linux工具直接在内存中执行，并通过每30分钟运行的cron作业和自定义systemd服务建立持久性。

C语言编写的rootkit在内存中编译，使用LD_PRELOAD覆盖readdir()函数，从用户空间监控工具中隐藏与恶意软件相关的进程、文件和目录。在建立网络访问和持久性后，shell脚本会从GitHub下载加密货币挖矿程序。Koske支持挖掘18种不同的加密货币，包括难以追踪的Monero、Ravencoin等，并能自动切换到备份矿池，显示出高度的自动化和适应性。

AquaSec警告称，虽然像Koske这样由AI驱动的恶意软件已经令人担忧，但未来的变种可能会利用实时适应性，演变成更危险的威胁类别。