Malware Koske usa imagens polyglot e JupyterLab mal configurado para persistência
Uma nova cepa de malware para Linux, denominada “Koske”, está utilizando arquivos disfarçados de imagens de pandas para entregar cargas de mineração de criptomoedas. A campanha explora instâncias mal configuradas do JupyterLab e entrega arquivos JPEG aparentemente inocentes que, na verdade, são arquivos polyglot contendo código malicioso após os dados de imagem.
Como o ataque se espalha e evita a detecção
O vetor inicial observado envolve instâncias expostas do JupyterLab. A partir daí, invasores fazem o download de duas imagens por meio de uma URL encurtada, e os bytes finais dessas imagens, que carregam o payload, são executados diretamente na memória. Esse modo de execução em memória torna a detecção por antivírus tradicionais e por mecanismos que monitoram arquivos em disco muito mais difícil.
Além disso, pesquisadores destacam que uma vulnerabilidade de alta gravidade pode ter facilitado o acesso inicial. A falha identificada é a CVE-2025-30370 na extensão JupyterLab-git, e ela pode ter sido o ponto de entrada que permitiu a execução dos payloads mascarados nas imagens.
Segundo relatório da CSO Online, “Uma nova cepa de malware para Linux, denominada “Koske”, está utilizando arquivos disfarçados de imagens de pandas para entregar cargas de mineração de criptomoedas.” Essa descrição resume a técnica central: arquivos que parecem imagens, mas carregam códigos de mineração e persistência.
Persistência, modularidade e indícios de criação assistida por IA
O malware Koske não é apenas um minerador simples, ele foi projetado para permanecer e se adaptar. O software modifica arquivos de configuração do Bash para garantir execução de scripts customizados, registra-se como serviço em segundo plano, cria tarefas agendadas recorrentes e implementa mecanismos para escolher entre múltiplas rotinas de mineração conforme o contexto do sistema infectado.
Os pesquisadores também apontam que o código apresenta sinais de desenvolvimento assistido por modelos de linguagem de grande porte. Como observado na cobertura técnica, “Koske apresenta características que sugerem o uso de inteligência artificial na sua criação.” Essa hipótese se apoia em padrões de modularidade, reutilização de blocos de código e variações rápidas que lembram respostas geradas por LLMs, o que pode acelerar a proliferação de variantes.
Para dificultar sua remoção e esconder artefatos de sua operação, o código intercepta chamadas do sistema, como a readdir(), para ocultar processos e arquivos associados, e mantém comunicação contínua com uma infraestrutura de comando e controle.
O que organizações e administradores devem fazer
As recomendações dos especialistas destacam cuidados práticos para reduzir o risco de infecção por malware Koske e ameaças semelhantes. Vale lembrar a advertência do relatório, “As recomendações dos especialistas enfatizam a importância de monitorar modificações não autorizadas em scripts bash, revisões inesperadas de configurações DNS e a adoção de ferramentas de proteção em tempo real que possam identificar comportamentos atípicos em shells e na execução de arquivos polyglot.”
Na prática, isso significa priorizar a correção de instâncias expostas do JupyterLab, aplicar atualizações e patches, rever permissões de extensões como a JupyterLab-git, e monitorar conexões externas e downloads de conteúdo binário. Ferramentas EDR com capacidade de analisar comportamentos em memória e sinais de execução inusitada são essenciais para detectar payloads que não escrevem arquivos no disco.
Além disso, blockers simples, como restringir o uso de URLs encurtadas em ambientes de produção, aplicar políticas de segurança para notebooks e auditar tarefas agendadas e unidades de serviço, ajudam a reduzir vetores de persistência. Treinamento de equipes de DevOps e administradores para identificar sinais de execução atípica em containers e notebooks também é recomendado.
O surgimento do malware Koske é mais um alerta sobre como arquivos aparentemente inocentes e técnicas automatizadas podem ser combinados para criar ameaças sofisticadas. Manter sistemas atualizados, usar monitoração em tempo real e revisar configurações de serviços expostos são medidas práticas e imediatas para mitigar esse risco.

Deixe um comentário