犯罪分子利用KODI更新验证系统安装恶意软件

Kodi开源媒体播放器的一些非官方存储库提供了一个修改过的附加组件，可以在Windows和Linux平台上下载加密恶意软件。

该操作似乎已于2017年12月通过由现已解散的Bubbles存储库托管的“script.module.simplejson”加载项开始。随着Bubbles的消失，Gaia存储库开始分发恶意附加组件。

犯罪分子利用更新验证系统

来自ESET的安全研究人员在XvBMC存储库中发现了该活动，该存储库最近因版权侵权而被关闭，但其他存储库可能会提供被篡改的文件。

由于Kodi附加组件可从多个存储库中获得，并且更新验证仅需要版本号，因此受害者可以在刷新托管修改文件的存储库时将恶意加载项添加到其Kodi安装中。

他们说，不知情的其他存储库所有者的更新例程导致恶意插件在Kodi生态系统中传播。

目前，受影响最大的五个国家是美国，以色列，希腊，英国和荷兰，这也是XvBMC的祖国。这些国家也是录制Kodi附加设备流量最多的国家。

'script.module.simplejson'是合法Kodi附加组件的名称，但是网络犯罪分子滥用了Kodi使用的更新系统，并发布了具有更高版本号的恶意变种。

目前，'script.module.simplejson'的版本为3.4.0，而恶意存储库的版本为3.4.1。由于存储库具有更高版本，Kodi用户将自动自动更新并安装恶意版本。

感染分阶段推出

ESET的分析显示，威胁行为者修改了原始附加组件的元数据，以指示Kodi在2.16.0或更高版本下载名为“script.module.python.requests”的附加组件。

新下载的附加组件包含汇集并执行cryptominer的Python代码。成功安装恶意软件后，将其中的Python字符串删除。

“代码清楚地由熟悉Kodi及其附加体系结构的人编写。脚本检测它运行的操作系统（仅支持Windows和Linux，忽略Android和macOS），连接到其C＆C服务器，并且下载并执行适合OS的二进制下载器模块，“研究人员指出。

只要用户指示Kodi检查受损的存储库URL以获取附加更新，或者他们安装已包含URL或已修改的附加组件的现成的媒体播放器版本，就会发生感染。

ESET认为安装的用户使用了与Kodi的第三方存储库，可能会有所妥协。