Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Mòduls Go maliciosos propaguen programari maliciós de...

Mòduls Go maliciosos propaguen programari maliciós de Linux que esborra el disc

El Mezo el Programari maliciós
Traduir a:

Investigadors de ciberseguretat han descobert recentment tres mòduls Go nocius que utilitzen codi ofuscat per obtenir càrregues útils no segures, que poden danyar irreversiblement els sistemes Linux. Aquests mòduls semblen legítims, però estan dissenyats per executar càrregues útils remotes que esborren el disc principal d'un sistema, fent que no es pugui arrencar.

Paquets no segurs identificats

Els següents mòduls de Go estan implicats:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Aquests paquets contenen codi altament ofuscat, dissenyat per descarregar i executar càrregues útils quan s'executen en un sistema Linux.

Les càrregues útils destructives sobreescriuen les dades crítiques del disc

El codi danyat comprova si hi ha un sistema operatiu Linux i, si es detecta, utilitza wget per obtenir una càrrega útil de la següent etapa des d'un servidor remot. Aquesta càrrega útil és un script de shell destructiu que sobreescriu el disc principal del sistema (/dev/sda) amb zeros. Com a resultat, el sistema esdevé impossible d'arrencar i cap eina de recuperació de dades ni cap procés forense pot restaurar la informació perduda, ja que el disc es destrueix irreversiblement. Aquest mètode destaca els riscos extrems que plantegen els atacs a la cadena de subministrament, on el codi legítim pot causar danys catastròfics als servidors Linux i als entorns de desenvolupador.

Amenaça creixent dels paquets npm fraudulents

A més del descobriment de mòduls Go no segurs, també s'han detectat diversos paquets npm nocius. Aquests paquets estan dissenyats per recopilar informació sensible, que pot incloure frases mnemotèniques i claus privades de criptomoneda, que poden conduir al robatori dels actius digitals dels usuaris.

Paquets npm sospitosos identificats

Els següents paquets npm s'han marcat com a manipulats:

  • cripto-encriptació-ts
  • prova de visualització de pàgina de desplaçament nativa de reacció
  • bancària
  • buttonfactoryserv-paypal
  • tommyboytesting
  • complimentreadserv-paypal
  • oauth2-paypal
  • plataforma d'API de pagaments - servei de PayPal
  • userbridge-paypal
  • Relació d'usuari-paypal

Aquests paquets estan elaborats amb molta cura per exfiltrar informació sensible, cosa que representa una amenaça massiva per a la privadesa i la seguretat dels usuaris.

Els paquets PyPI carregats de programari maliciós recol·lecten dades de criptomonedes

El repositori Python Package Index (PyPI) també ha vist l'augment de paquets compromesos dirigits a moneders de criptomonedes. Aquests paquets s'han descarregat més de 6.800 vegades des del seu llançament el 2024 i estan dissenyats per robar frases mnemotèniques, comprometent les reserves de criptomonedes dels usuaris.

Paquets PyPI no segurs destacats

Dos paquets clau dirigits a moneders de criptomoneda inclouen:

  • web3x
  • herewalletbot

Aquests paquets tenen com a objectiu sustraure frases mnemotèniques dels usuaris, posant en perill els seus actius digitals. A més, s'ha descobert un altre conjunt de set paquets PyPI, que ara s'han eliminat, que utilitzaven els servidors SMTP i WebSockets de Gmail per exfiltrar dades i establir accés remot.

Exfiltració de dades i execució remota d'ordres basades en Gmail

Els paquets PyPI no segurs utilitzen credencials de Gmail codificades per iniciar la sessió al servidor SMTP de Gmail i enviar un missatge a una altra adreça de Gmail per indicar que s'ha compromès correctament. Després d'això, s'estableix una connexió WebSocket, que permet a l'atacant mantenir una comunicació bidireccional amb el sistema compromès.

L'ús de dominis de Gmail (smtp.gmail.com) fa que aquests atacs siguin més furtius, ja que és menys probable que els proxies corporatius i els sistemes de protecció de punts finals els marquin com a sospitosos, atesa la confiança associada als serveis de Gmail.

Paquet destacat: cfc-bsb

El paquet cfc-bsb és destacable, ja que no inclou la funcionalitat de Gmail, sinó que utilitza la lògica WebSocket per facilitar l'accés remot, evitant les mesures de detecció tradicionals.

Com mitigar les amenaces de la cadena de subministrament

Per protegir-se contra aquests paquets nocius i altres amenaces de la cadena de subministrament, els desenvolupadors haurien d'adoptar les pràctiques següents:

  • Verifica l'autenticitat del paquet : Comprova l'historial de l'editor i els enllaços del repositori de GitHub per assegurar-te de la legitimitat del paquet.
  • Auditar les dependències regularment : Auditar les dependències de manera rutinària i assegurar-se que estiguin actualitzades i lliures de codi maliciós.
  • Aplicar controls d'accés estrictes : implementar mecanismes de control d'accés estrictes per protegir les claus privades i altres credencials sensibles.

A més, els desenvolupadors han de mantenir-se alerta per a connexions sortints inusuals, especialment el trànsit SMTP, ja que els atacants poden utilitzar serveis legítims com Gmail per a l'exfiltració de dades. També és crucial evitar confiar en un paquet només perquè ha existit durant molt de temps sense haver estat eliminat, ja que això podria emmascarar una activitat no segura.

Tendència

Webheroes.store

Sense categoria, Segrestadors del navegador, Llocs web canalla
Webheroes.store existeix només per actuar com a plataforma per a tàctiques en línia. Es recomana als usuaris que tanquin la pàgina tan bon punt hi arribin. A més, trobar Webheroes.store en primer lloc és molt poc probable que hagi estat intencionat. En la gran majoria dels casos, els usuaris són portats a destinacions tan dubtoses com a conseqüència de les redireccions forçades provocades per...

Compensació DOGE per a víctimes de frau a tot el món

Phishing, Correu brossa
Mantenir-se vigilant és més crític que mai. Cada dia, els ciberdelinqüents elaboren noves maneres de manipular usuaris desprevinguts, sovint disfressant tàctiques com a comunicacions legítimes. Els correus electrònics d'estafa de phishing són especialment insegurs perquè s'orienten a la confiança i la curiositat d'una persona, utilitzant sovint un llenguatge i logotips oficials per semblar...

Més vist

Carregant...