Злонамерени Go модули разпространяват зловреден софтуер за Linux, който изтрива дискове
Изследователи по киберсигурност наскоро откриха три вредни Go модула, които използват обфускиран код за извличане на опасни полезни товари, което може необратимо да повреди Linux системите. Тези модули изглеждат легитимни, но са предназначени да изпълняват отдалечени полезни товари, които изтриват основния диск на системата, правейки я невъзможна за стартиране.
Съдържание
Идентифицирани опасни Go пакети
Следните Go модули са замесени:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Тези пакети съдържат силно обфускиран код, който е проектиран да изтегля и изпълнява полезни товари, когато се изпълнява на Linux система.
Деструктивните полезни товари презаписват критични данни на диска
Повреденият код проверява за операционна система Linux и, ако бъде открита, използва wget, за да извлече полезен товар от следващия етап от отдалечен сървър. Този полезен товар е деструктивен shell скрипт, който презаписва основния диск на системата (/dev/sda) с нули. В резултат на това системата става невъзможна за стартиране и никакви инструменти за възстановяване на данни или криминалистични процеси не могат да възстановят загубената информация, тъй като дискът е необратимо унищожен. Този метод подчертава изключителните рискове, породени от атаки по веригата за доставки, при които легитимният код може да причини катастрофални щети на Linux сървъри и среди за разработчици.
Нарастваща заплаха от измамни npm пакети
Наред с откриването на опасни Go модули, бяха засечени и множество вредни npm пакети. Тези пакети са предназначени за събиране на чувствителна информация, която може да включва мнемонични фрази и частни ключове за криптовалута, което може да доведе до кражба на цифрови активи на потребителите.
Идентифицирани са подозрителни npm пакети
Следните npm пакети са маркирани като подправени:
- крипто-криптиране-ts
- тест за преглед на страницата за реакция
- банков пакет услуги
- buttonfactoryserv-paypal
- тестване на томибой
- compliancereadserv-paypal
- oauth2-paypal
- плащанеapiplatformservice-paypal
- userbridge-paypal
- Връзка с потребителя - PayPal
Тези пакети са злонамерено изработени, за да измъкнат чувствителна информация, представлявайки огромна заплаха за поверителността и сигурността на потребителите.
Заредени със зловреден софтуер PyPI пакети събират данни за криптовалути
Хранилището Python Package Index (PyPI) също е свидетел на нарастване на компрометираните пакети, насочени към портфейли с криптовалута. Тези пакети са изтеглени над 6800 пъти от пускането им през 2024 г. и са предназначени да крадат мнемонични фрази, компрометирайки криптовалутните активи на потребителите.
Забележителни опасни PyPI пакети
Два ключови пакета, насочени към портфейли с криптовалута, включват:
- web3x
- herewalletbot
Тези пакети целят да източват мнемонични фрази от потребителите, застрашавайки техните дигитални активи. Освен това, друг набор от седем PyPI пакета, които вече са премахнати, беше открит, използвайки SMTP сървърите и WebSockets на Gmail за извличане на данни и установяване на отдалечен достъп.
Извличане на данни, базирани на Gmail, и дистанционно изпълнение на команди
Небезопасните PyPI пакети използват твърдо кодирани идентификационни данни за Gmail, за да влязат в SMTP сървъра на Gmail и да изпратят съобщение до друг Gmail адрес, за да покажат успешно компрометиране. След това се установява WebSocket връзка, което позволява на атакуващия да поддържа двупосочна комуникация с компрометираната система.
Използването на домейни в Gmail (smtp.gmail.com) прави тези атаки по-скрити, тъй като корпоративните прокси сървъри и системите за защита на крайните точки е по-малко вероятно да ги маркират като подозрителни, предвид доверието, свързано с услугите на Gmail.
Отличен пакет: cfc-bsb
Пакетът cfc-bsb е забележителен, тъй като не предлага Gmail функционалност, а вместо това използва WebSocket логика за улесняване на отдалечения достъп, заобикаляйки традиционните мерки за откриване.
Как да смекчим заплахите за веригата за доставки
За да се предпазят от тези вредни пакети и други заплахи за веригата за доставки, разработчиците трябва да възприемат следните практики:
- Проверка на автентичността на пакета : Проверете историята на издателя и връзките към хранилището на GitHub, за да се уверите в легитимността на пакета.
- Редовно проверявайте зависимостите : Рутинно проверявайте зависимостите и се уверявайте, че те са актуални и не съдържат злонамерен код.
- Прилагане на строг контрол на достъпа : Внедрете строги механизми за контрол на достъпа, за да защитите частните ключове и други чувствителни идентификационни данни.
Освен това, разработчиците трябва да бъдат бдителни за необичайни изходящи връзки, особено SMTP трафик, тъй като нападателите могат да използват легитимни услуги като Gmail за извличане на данни. Също така е изключително важно да се избягва доверяването на пакет единствено защото той съществува от дълго време, без да е премахнат, тъй като това може да прикрие опасна дейност.
