近期，研究人員在某些非官方的Kodi開(kāi)源多媒體代碼庫(kù)中發(fā)現(xiàn)了自定義修改后的惡意插件，而這些惡意插件將會(huì)在Windows和Linux平臺(tái)中下載惡意挖礦軟件。

研究人員表示，他們發(fā)現(xiàn)了一個(gè)通過(guò)合法插件來(lái)感染運(yùn)行了Kodi設(shè)備的惡意活動(dòng)。在這個(gè)惡意活動(dòng)中，網(wǎng)絡(luò)犯罪分子主要針對(duì)的是Kodi用戶(hù)，并通過(guò)感染惡意挖礦軟件來(lái)挖門(mén)羅幣。
該活動(dòng)似乎是從2017年12月份開(kāi)始的，當(dāng)時(shí)主要通過(guò)托管在Bubbles代碼庫(kù)（現(xiàn)已失效）中的’script.module.simplejson’插件來(lái)實(shí)現(xiàn)感染。由于Bubbles庫(kù)已經(jīng)下線了，所以網(wǎng)絡(luò)犯罪分子也把他們的惡意插件轉(zhuǎn)移到了Gaia庫(kù)來(lái)進(jìn)行傳播。
網(wǎng)絡(luò)犯罪分子利用了Kodi驗(yàn)證系統(tǒng)的漏洞
ESET的安全研究人員在XvBMC庫(kù)中發(fā)現(xiàn)了這個(gè)惡意活動(dòng)，而這個(gè)托管庫(kù)最近因?yàn)榍址赴鏅?quán)的原因而被迫關(guān)閉，不過(guò)其他的托管庫(kù)中仍托管了修改后的惡意插件。
由于Kodi插件可以從多個(gè)代碼托管庫(kù)中獲取，并且插件的更新驗(yàn)證也只需要版本號(hào)，因此很多受害者在更新Kodi插件時(shí)就會(huì)刷新并安裝到惡意插件。
研究人員表示，正是因?yàn)楹芏啻�碼托管庫(kù)并沒(méi)有對(duì)插件的更新機(jī)制進(jìn)行有效的安全保護(hù)，這也是惡意插件能夠在Kodi生態(tài)系統(tǒng)中蔓延的主要原因之一。
目前，受該活動(dòng)影響最大的五個(gè)國(guó)家分別是美國(guó)、以色列、希臘、英國(guó)以及荷蘭，而且這些國(guó)家同樣也是全球使用Kodi插件最多的國(guó)家。

其中，’script.module.simplejson’為合法Kodi插件的名稱(chēng)，但是網(wǎng)絡(luò)犯罪分子利用了Kodi更新機(jī)制中的漏洞，并利用更高版本編號(hào)來(lái)發(fā)布惡意Kodi插件。
當(dāng)時(shí)，’script.module.simplejson’的版本號(hào)為3.4.0，而惡意代碼庫(kù)托管的惡意插件版本為3.4.1。由于惡意插件的版本號(hào)更高，Kodi用戶(hù)將會(huì)自動(dòng)更新并安裝惡意插件。
感染分階段進(jìn)行
ESET的分析結(jié)果表明，網(wǎng)絡(luò)犯罪分子修改了原始插件的元數(shù)據(jù)，并控制Kodi來(lái)下載一個(gè)名叫’script.module.python.requests’的插件（版本為2.16.0及以上）。
新下載的插件中包含的Python代碼會(huì)運(yùn)行加密貨幣挖礦軟件，當(dāng)惡意軟件成功安裝之后，負(fù)責(zé)下載惡意挖礦軟件的Python代碼將會(huì)被刪除。

研究人員在報(bào)告中提到：“在對(duì)代碼進(jìn)行了分析之后，我們認(rèn)為惡意代碼的開(kāi)發(fā)人員絕對(duì)是對(duì)Kodi及其插件結(jié)構(gòu)非常了解的人。腳本代碼會(huì)對(duì)目標(biāo)操作系統(tǒng)進(jìn)行檢測(cè)，目前該惡意軟件僅支持Windows和Linux，Android和macOS還不會(huì)受其影響。接下來(lái)，它會(huì)連接遠(yuǎn)程C&C服務(wù)器，并執(zhí)行一個(gè)代碼下載模塊。”
因此，研究人員建議廣大Kodi用戶(hù)盡量從官方Kodi托管庫(kù)中下載和更新插件。