Rabattilbud med flere licenser
Trusseldatabase Malware Ondsindede Go-moduler spreder disk-sledende Linux-malware

Ondsindede Go-moduler spreder disk-sledende Linux-malware

Med Mezo i Malware
Oversæt til:

Cybersikkerhedsforskere har for nylig afdækket tre skadelige Go-moduler, der bruger obfuskeret kode til at hente usikre data, hvilket kan skade Linux-systemer permanent. Disse moduler ser ud til at være legitime, men er designet til at udføre eksterne data, der sletter et systems primære disk, hvilket gør det umuligt at starte.

Identificerede usikre Go-pakker

Følgende Go-moduler er involveret:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Disse pakker indeholder meget forvirret kode, som er konstrueret til at downloade og udføre nyttelast, når den kører på et Linux-system.

Destruktive nyttelaster overskriver kritiske diskdata

Den beskadigede kode søger efter et Linux-operativsystem, og hvis den opdages, bruger den wget til at hente en next-stage-nyttelast fra en fjernserver. Denne nyttelast er et destruktivt shell-script, der overskriver systemets primære disk (/dev/sda) med nuller. Som følge heraf bliver systemet uopstartbart, og ingen datagendannelsesværktøjer eller retsmedicinske processer kan gendanne de mistede oplysninger, da disken ødelægges uopretteligt. Denne metode fremhæver de ekstreme risici, som forsyningskædeangreb udgør, hvor legitim kode kan forårsage katastrofal skade på Linux-servere og udviklermiljøer.

Voksende trussel fra svigagtige npm-pakker

Udover opdagelsen af usikre Go-moduler er der også blevet opdaget flere skadelige npm-pakker. Disse pakker er designet til at indsamle følsomme oplysninger, som kan omfatte mnemoniske seed-fraser og private kryptovalutannøgler, hvilket kan føre til tyveri af brugernes digitale aktiver.

Mistænkelige npm-pakker identificeret

Følgende npm-pakker er blevet markeret som manipuleret:

  • krypto-krypter-ts
  • react-native-scrollpageviewtest
  • bankbundleserv
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • betalingsplatformservice-paypal
  • userbridge-paypal
  • Brugerforhold-paypal

Disse pakker er ondskabsfuldt udformet til at stjæle følsomme oplysninger, hvilket udgør en massiv trussel mod brugernes privatliv og sikkerhed.

Malware-indlæste PyPI-pakker indsamler kryptovalutadata

Python Package Index (PyPI)-arkivet har også set en stigning i antallet af kompromitterede pakker, der er rettet mod kryptovaluta-wallets. Disse pakker er blevet downloadet over 6.800 gange siden deres udgivelse i 2024 og er designet til at stjæle mnemoniske seed-fraser, hvilket kompromitterer brugernes kryptovalutabeholdninger.

Bemærkelsesværdige usikre PyPI-pakker

To nøglepakker rettet mod kryptovaluta-tegnebøger inkluderer:

  • web3x
  • herewalletbot

Disse pakker har til formål at stjæle huskeregler fra brugerne og dermed bringe deres digitale aktiver i fare. Derudover blev et andet sæt af syv PyPI-pakker, som nu er blevet fjernet, opdaget ved hjælp af Gmails SMTP-servere og WebSockets til at stjæle data og etablere fjernadgang.

Gmail-baseret dataudvinding og fjernkommandoudførelse

De usikre PyPI-pakker bruger hardcodede Gmail-legitimationsoplysninger til at logge ind på Gmails SMTP-server og sende en besked til en anden Gmail-adresse for at indikere en vellykket kompromittering. Derefter etableres en WebSocket-forbindelse, hvilket giver angriberen mulighed for at opretholde tovejskommunikation med det kompromitterede system.

Brugen af Gmail-domæner (smtp.gmail.com) gør disse angreb mere diskrete, da virksomhedsproxyer og endpoint-beskyttelsessystemer er mindre tilbøjelige til at markere dem som mistænkelige, givet den tillid, der er forbundet med Gmail-tjenester.

Enestående pakke: cfc-bsb

Pakken cfc-bsb er bemærkelsesværdig, da den ikke har Gmail-funktionalitet, men i stedet bruger WebSocket-logik til at muliggøre fjernadgang og omgå traditionelle detektionsforanstaltninger.

Sådan afbøder du trusler i forsyningskæden

For at beskytte mod disse skadelige pakker og andre trusler i forsyningskæden bør udviklere anvende følgende praksisser:

  • Bekræft pakkens ægthed : Tjek udgiverens historik og links til GitHub-arkivet for at sikre pakkens legitimitet.
  • Revider afhængigheder regelmæssigt : Revider rutinemæssigt afhængigheder, og sørg for, at de er opdaterede og fri for skadelig kode.
  • Håndhæv strenge adgangskontroller : Implementer strenge adgangskontrolmekanismer for at beskytte private nøgler og andre følsomme legitimationsoplysninger.

Derudover bør udviklere være opmærksomme på usædvanlige udgående forbindelser, især SMTP-trafik, da angribere kan bruge legitime tjenester som Gmail til dataudvinding. Det er også afgørende at undgå at stole på en pakke udelukkende fordi den har eksisteret i lang tid uden at være blevet fjernet, da dette kan maskere usikker aktivitet.

Trending

Mest sete

Indlæser...