Как сообщает компания ESET в репозиториях проекта Kodi (в прошлом XBMC) были обнаружены вредоносные дополнения для скрытого майнинга криптовалюты.

Первым репозиторием, который подвергся заражению был голландский репозиторий XvMBC.
Предположительно, майнер был размещен там в декабре 2017 года. Далее вредоносный код попал в репозиторий Bubbles and Gaia (январь 2018).
Вектором для атаки служило дополнение script.module.simplejson, от которого зависимы множество других дополнений. При добавлении инфицированных репозиториев, через некоторое время, в них появлялось ложное обновление для аддона script.module.simplejson.
Далее, как зависимость для нового вредоносного дополнения, загружался модуль script.module.python.requests. Это, последнее, дополнение анализировало программное окружение хост-системы и загружало соответствующий ему исполняемый код для майнинга криптовалюты Monero (Win64/ CoinMiner.II , Win64/ CoinMiner.MK , Linux/ CoinMiner.BC , Linux/ CoinMiner.BJ , Linux/ CoinMiner.BK и Linux/ CoinMiner.CU ). После загрузки исполняемого файла модуль-загрузчик удалял себя из системы для заметания следов.
Заражению подвергались системы на базе Linux и Windows, о заражении систем на базе Android/macOS информации нет.
Существовало 3 способа проникновения вредоноса на машину жертвы:
+ Прописать URL зараженного репозитория.
Майнер скачивался при обновлении дополнений;
+ Скачать готовую сборку Kodi, которая уже содержит код загрузки майнера;
Скачать готовую сборку, содержащую вредоносное дополнение.
Такая сборка не сможет получать обновление из репозитория, но майнер все равно проникнет в целевую систему.
+ По предварительным данным жертвами вредоносных дополнений стали 4774 пользователя, а общая сумма полученная злоумышленниками в результата майнинга составила 62 Monero (около 6800 долларов). Большая часть жертв находится в США, Израиле, Греции, Великобритании и Голландии. Отмечается, что возможно атака не ограничится репозиториями Bubbles, Gaia и XvBMC, поэтому пользователям Kodi следует проявлять осторожность при подключении репозиториев, установке дополнений и использовании сторонних сборок.
В данный момент оба репозитория закрыты по обвинению в нарушении авторских прав, выразившемся в том, что они содержали популярные дополнения (Add-on) через которые пользователи могли получать доступ к нелегальному контенту.
Источник: https://www.linux.org.ru/news/security/14476515