近期，研究人員在某些非官方的Kodi開源多媒體代碼庫中發現了自定義修改后的惡意插件，而這些惡意插件將會在Windows和Linux平臺中下載惡意挖礦軟件。

研究人員表示，他們發現了一個通過合法插件來感染運行了Kodi設備的惡意活動。在這個惡意活動中，網絡犯罪分子主要針對的是Kodi用戶，并通過感染惡意挖礦軟件來挖門羅幣。
該活動似乎是從2017年12月份開始的，當時主要通過托管在Bubbles代碼庫（現已失效）中的’script.module.simplejson’插件來實現感染。由于Bubbles庫已經下線了，所以網絡犯罪分子也把他們的惡意插件轉移到了Gaia庫來進行傳播。
網絡犯罪分子利用了Kodi驗證系統的漏洞
ESET的安全研究人員在XvBMC庫中發現了這個惡意活動，而這個托管庫最近因為侵犯版權的原因而被迫關閉，不過其他的托管庫中仍托管了修改后的惡意插件。
由于Kodi插件可以從多個代碼托管庫中獲取，并且插件的更新驗證也只需要版本號，因此很多受害者在更新Kodi插件時就會刷新并安裝到惡意插件。
研究人員表示，正是因為很多代碼托管庫并沒有對插件的更新機制進行有效的安全保護，這也是惡意插件能夠在Kodi生態系統中蔓延的主要原因之一。
目前，受該活動影響最大的五個國家分別是美國、以色列、希臘、英國以及荷蘭，而且這些國家同樣也是全球使用Kodi插件最多的國家。

其中，’script.module.simplejson’為合法Kodi插件的名稱，但是網絡犯罪分子利用了Kodi更新機制中的漏洞，并利用更高版本編號來發布惡意Kodi插件。
當時，’script.module.simplejson’的版本號為3.4.0，而惡意代碼庫托管的惡意插件版本為3.4.1。由于惡意插件的版本號更高，Kodi用戶將會自動更新并安裝惡意插件。
感染分階段進行
ESET的分析結果表明，網絡犯罪分子修改了原始插件的元數據，并控制Kodi來下載一個名叫’script.module.python.requests’的插件（版本為2.16.0及以上）。
新下載的插件中包含的Python代碼會運行加密貨幣挖礦軟件，當惡意軟件成功安裝之后，負責下載惡意挖礦軟件的Python代碼將會被刪除。

研究人員在報告中提到：“在對代碼進行了分析之后，我們認為惡意代碼的開發人員絕對是對Kodi及其插件結構非常了解的人。腳本代碼會對目標操作系統進行檢測，目前該惡意軟件僅支持Windows和Linux，Android和macOS還不會受其影響。接下來，它會連接遠程C&C服務器，并執行一個代碼下載模塊。”
因此，研究人員建議廣大Kodi用戶盡量從官方Kodi托管庫中下載和更新插件。