Пользователи медиаплеера Kodi оказались в зоне риска. Как минимум три источника с плагинами Kodi используются злоумышленниками для распространения вредоносных криптомайнеров.
Kodi — популярный медиаплеер на основе открытого исходного кода. В нем нет собственного контента, и чтобы получить доступ к источникам аудио и видеофайлов, пользователи самостоятельно устанавливают дополнения из официальной библиотеки и сторонних хранилищ. Специалисты ESET установили, что злоумышленники используют экосистему Kodi для распространения криптомайнеров.
Вредоносная кампания продолжается с декабря 2017 года. Атакующие скомпрометировали репозитории Bubbles, Gaia и XvBMC, разместив в них вредоносный плагин simplejson под видом новой версии.
Модифицированная злоумышленниками версия simplejson имеет номер 3.4.1 (номер легитимного дополнения – 3.4.0). В Kodi по умолчанию включена функция автоматического обновления плагинов, поэтому пользователи скомпрометированных репозиториев получили зараженную «новую версию» сразу после ее появления. Некоторые пострадавшие загрузили вредоносный код вместе с готовыми сборками Kodi.