Slevová nabídka pro více licencí
Databáze hrozeb Malware Škodlivé moduly Go šíří malware pro mazání disku v Linuxu

Škodlivé moduly Go šíří malware pro mazání disku v Linuxu

V roce Mezo v roce Malware
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti nedávno odhalili tři škodlivé moduly jazyka Go, které využívají zahalený kód k načítání nebezpečných datových úložišť, jež mohou nevratně poškodit systémy Linux. Tyto moduly se zdají být legitimní, ale jsou navrženy tak, aby spouštěly vzdálená datová úložiště, která vymažou primární disk systému a znemožní jeho spuštění.

Identifikované nebezpečné balíčky Go

Jsou zde zahrnuty následující moduly Go:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Tyto balíčky obsahují vysoce obfusovaný kód, který je navržen tak, aby stahoval a spouštěl datové části při spuštění v systému Linux.

Destruktivní datové zátěže přepisují kritická data na disku

Poškozený kód kontroluje přítomnost operačního systému Linux a v případě detekce použije nástroj wget k načtení dalšího datového souboru ze vzdáleného serveru. Tento datový soubor je destruktivní shellový skript, který přepíše primární disk systému (/dev/sda) nulami. V důsledku toho se systém stane nespustitelným a žádné nástroje pro obnovu dat ani forenzní procesy nemohou obnovit ztracené informace, protože disk je nenávratně zničen. Tato metoda zdůrazňuje extrémní rizika, která představují útoky na dodavatelský řetězec, kde legitimní kód může způsobit katastrofické škody na linuxových serverech a vývojářských prostředích.

Rostoucí hrozba z podvodných npm balíčků

Kromě objevení nebezpečných modulů Go bylo také detekováno několik škodlivých balíčků npm. Tyto balíčky jsou navrženy tak, aby shromažďovaly citlivé informace, které mohou zahrnovat mnemotechnické fráze a soukromé klíče kryptoměn, což může vést ke krádeži digitálních aktiv uživatelů.

Identifikovány podezřelé balíčky npm

Následující balíčky npm byly označeny jako pozměněné:

  • crypto-encrypt-ts
  • test zobrazení nativního scrollpage
  • bankovní balíček služeb
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • platbaapiplatformservice-paypal
  • userbridge-paypal
  • Uživatelský vztah – PayPal

Tyto balíčky jsou zákeřně vytvořeny tak, aby odhalily citlivé informace, což představuje masivní hrozbu pro soukromí a bezpečnost uživatelů.

Balíčky PyPI zatížené malwarem shromažďují data o kryptoměnách

Repozitář Python Package Index (PyPI) také zaznamenal nárůst kompromitovaných balíčků zaměřených na kryptoměnové peněženky. Tyto balíčky byly od svého vydání v roce 2024 staženy více než 6 800krát a jsou navrženy tak, aby ukradly mnemotechnické fráze, čímž ohrozily kryptoměnové peněženky uživatelů.

Pozoruhodné nebezpečné balíčky PyPI

Dva klíčové balíčky zaměřené na kryptoměnové peněženky zahrnují:

  • web3x
  • herewalletbot

Tyto balíčky se snaží od uživatelů odčerpat mnemotechnické fráze a ohrozit tak jejich digitální aktiva. Kromě toho byla objevena další sada sedmi balíčků PyPI, které již byly odstraněny, a které využívají SMTP servery a WebSockety Gmailu k odcizení dat a navázání vzdáleného přístupu.

Exfiltrace dat z Gmailu a vzdálené spuštění příkazů

Nebezpečné balíčky PyPI používají pevně zakódované přihlašovací údaje Gmailu k přihlášení k SMTP serveru Gmailu a odeslání zprávy na jinou adresu Gmailu, která signalizuje úspěšné narušení bezpečnosti. Poté je navázáno připojení WebSocket, které útočníkovi umožňuje udržovat obousměrnou komunikaci s napadeným systémem.

Používání domén Gmail (smtp.gmail.com) činí tyto útoky nenápadnějšími, protože firemní proxy a systémy ochrany koncových bodů je s menší pravděpodobností označí jako podezřelé, a to vzhledem k důvěře spojené se službami Gmail.

Vynikající balíček: cfc-bsb

Balíček cfc-bsb je pozoruhodný, protože neobsahuje funkce Gmailu, ale místo toho používá logiku WebSocketu k usnadnění vzdáleného přístupu a obchází tradiční detekční opatření.

Jak zmírnit hrozby pro dodavatelský řetězec

Aby se vývojáři chránili před těmito škodlivými balíčky a dalšími hrozbami pro dodavatelský řetězec, měli by přijmout následující postupy:

  • Ověření pravosti balíčku : Zkontrolujte historii vydavatele a odkazy na repozitář GitHub, abyste se ujistili o pravosti balíčku.
  • Pravidelně auditovat závislosti : Pravidelně auditovat závislosti a zajistit, aby byly aktuální a neobsahovaly škodlivý kód.
  • Vynucování přísných kontrol přístupu : Implementujte mechanismy přísné kontroly přístupu k ochraně soukromých klíčů a dalších citlivých přihlašovacích údajů.

Vývojáři by si navíc měli dávat pozor na neobvyklá odchozí připojení, zejména na provoz SMTP, protože útočníci mohou k odcizení dat použít legitimní služby, jako je Gmail. Je také zásadní nedůvěřovat balíčku pouze proto, že existuje již delší dobu, aniž by byl odstraněn, protože by to mohlo maskovat nebezpečnou aktivitu.

Trendy

Webheroes.store

Nezařazené, Únosci prohlížeče, Nečestné webové stránky
Webheroes.store existuje pouze proto, aby fungoval jako platforma pro online taktiku. Uživatelům důrazně doporučujeme, aby stránku zavřeli, jakmile se na ni dostanou. Navíc je velmi nepravděpodobné, že by to bylo úmyslné setkání s Webheroes.store na prvním místě. V naprosté většině případů jsou uživatelé zaváděni do takto pochybných destinací v důsledku vynucených přesměrování způsobených...

Odškodnění DOGE obětem podvodů po celém světě...

Phishing, Spam
Zůstat bdělý je důležitější než kdy jindy. Kyberzločinci každý den vymýšlejí nové způsoby, jak manipulovat s nic netušícími uživateli – často maskováním taktiky za legitimní komunikaci. Phishingové podvodné e-maily jsou obzvláště nebezpečné, protože se zaměřují na důvěru a zvědavost člověka a často používají oficiálně znějící jazyk a loga, aby působily důvěryhodně. Jedna taková kampaň, známá...

Nejvíce shlédnuto

Načítání...