Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Οι κακόβουλες μονάδες Go διαδίδουν κακόβουλο λογισμικό...

Οι κακόβουλες μονάδες Go διαδίδουν κακόβουλο λογισμικό Linux που σκουπίζει δίσκους

Μέχρι το Mezo το Κακόβουλο λογισμικό
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας ανακάλυψαν πρόσφατα τρεις επιβλαβείς ενότητες Go που χρησιμοποιούν ασαφή κώδικα για την ανάκτηση μη ασφαλών ωφέλιμων φορτίων, τα οποία μπορούν να προκαλέσουν μη αναστρέψιμη βλάβη στα συστήματα Linux. Αυτές οι ενότητες φαίνεται να είναι νόμιμες, αλλά έχουν σχεδιαστεί για να εκτελούν απομακρυσμένα ωφέλιμα φορτία που διαγράφουν τον κύριο δίσκο ενός συστήματος, καθιστώντας τον μη εκκινήσιμο.

Εντοπισμένα μη ασφαλή πακέτα Go

Οι ακόλουθες ενότητες Go εμπλέκονται:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Αυτά τα πακέτα περιέχουν εξαιρετικά ασαφή κώδικα, ο οποίος έχει σχεδιαστεί για να κατεβάζει και να εκτελεί ωφέλιμα φορτία όταν εκτελούνται σε σύστημα Linux.

Τα καταστροφικά ωφέλιμα φορτία αντικαθιστούν κρίσιμα δεδομένα δίσκου

Ο κατεστραμμένος κώδικας ελέγχει για λειτουργικό σύστημα Linux και, εάν εντοπιστεί, χρησιμοποιεί το wget για να ανακτήσει ένα ωφέλιμο φορτίο επόμενου σταδίου από έναν απομακρυσμένο διακομιστή. Αυτό το ωφέλιμο φορτίο είναι ένα καταστροφικό σενάριο κελύφους που αντικαθιστά τον κύριο δίσκο του συστήματος (/dev/sda) με μηδενικά. Ως αποτέλεσμα, το σύστημα καθίσταται μη επανεκκινήσιμο και κανένα εργαλείο ανάκτησης δεδομένων ή δικανική διαδικασία δεν μπορεί να αποκαταστήσει τις χαμένες πληροφορίες, καθώς ο δίσκος καταστρέφεται μη αναστρέψιμα. Αυτή η μέθοδος υπογραμμίζει τους ακραίους κινδύνους που θέτουν οι επιθέσεις στην αλυσίδα εφοδιασμού, όπου ο νόμιμος κώδικας μπορεί να προκαλέσει καταστροφικές ζημιές σε διακομιστές Linux και περιβάλλοντα προγραμματιστών.

Αυξανόμενη απειλή από δόλια πακέτα npm

Παράλληλα με την ανακάλυψη μη ασφαλών μονάδων Go, έχουν επίσης εντοπιστεί πολλά επιβλαβή πακέτα npm. Αυτά τα πακέτα έχουν σχεδιαστεί για τη συλλογή ευαίσθητων πληροφοριών, οι οποίες μπορεί να περιλαμβάνουν φράσεις μνημονικού seed και ιδιωτικά κλειδιά κρυπτονομισμάτων, τα οποία μπορούν να οδηγήσουν στην κλοπή των ψηφιακών περιουσιακών στοιχείων των χρηστών.

Εντοπίστηκαν ύποπτα πακέτα npm

Τα ακόλουθα πακέτα npm έχουν επισημανθεί ως παραποιημένα:

  • κρυπτο-κρυπτογράφηση-ts
  • δοκιμή προβολής σελίδας με εγγενή κύλιση react-native
  • τραπεζικό πακέτο εξυπηρέτησης
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • υπηρεσία πληρωμής πλατφόρμας API-paypal
  • userbridge-paypal
  • Σχέση χρήστη-paypal

    • Αυτά τα πακέτα είναι κατασκευασμένα με μοχθηρό τρόπο για να κλέψουν ευαίσθητες πληροφορίες, θέτοντας μια τεράστια απειλή για το απόρρητο και την ασφάλεια των χρηστών.

    Πακέτα PyPI φορτωμένα με κακόβουλο λογισμικό συλλέγουν δεδομένα κρυπτονομισμάτων

    Το αποθετήριο Python Package Index (PyPI) έχει επίσης δει αύξηση παραβιασμένων πακέτων που στοχεύουν πορτοφόλια κρυπτονομισμάτων. Αυτά τα πακέτα έχουν ληφθεί πάνω από 6.800 φορές από την κυκλοφορία τους το 2024 και έχουν σχεδιαστεί για να κλέβουν μνημονικές φράσεις-στόχους, θέτοντας σε κίνδυνο τα κρυπτονομίσματα που κατέχουν οι χρήστες.

    Αξιοσημείωτα μη ασφαλή πακέτα PyPI

    Δύο βασικά πακέτα που στοχεύουν σε πορτοφόλια κρυπτονομισμάτων περιλαμβάνουν:

    • web3x
    • herewalletbot

    Αυτά τα πακέτα στοχεύουν στην υποκλοπή μνημονικών φράσεων-σπόρου από τους χρήστες, θέτοντας σε κίνδυνο τα ψηφιακά τους περιουσιακά στοιχεία. Επιπλέον, ένα άλλο σύνολο επτά πακέτων PyPI, τα οποία έχουν πλέον αφαιρεθεί, ανακαλύφθηκε χρησιμοποιώντας τους διακομιστές SMTP και τα WebSockets του Gmail για την εξαγωγή δεδομένων και την επίτευξη απομακρυσμένης πρόσβασης.

    Απομάκρυνση δεδομένων μέσω Gmail και εκτέλεση εντολών από απόσταση

    Τα μη ασφαλή πακέτα PyPI χρησιμοποιούν κωδικοποιημένα διαπιστευτήρια Gmail για να συνδεθούν στον διακομιστή SMTP του Gmail και να στείλουν ένα μήνυμα σε μια άλλη διεύθυνση Gmail για να υποδείξουν μια επιτυχή παραβίαση. Μετά από αυτό, δημιουργείται μια σύνδεση WebSocket, επιτρέποντας στον εισβολέα να διατηρήσει αμφίδρομη επικοινωνία με το παραβιασμένο σύστημα.

    Η χρήση τομέων Gmail (smtp.gmail.com) καθιστά αυτές τις επιθέσεις πιο αθέατες, καθώς οι εταιρικοί διακομιστές μεσολάβησης και τα συστήματα προστασίας τελικών σημείων είναι λιγότερο πιθανό να τις επισημάνουν ως ύποπτες, δεδομένης της εμπιστοσύνης που συνδέεται με τις υπηρεσίες Gmail.

    Πακέτο που ξεχωρίζει: cfc-bsb

    Το πακέτο cfc-bsb είναι αξιοσημείωτο, καθώς δεν διαθέτει λειτουργικότητα Gmail, αλλά χρησιμοποιεί τη λογική WebSocket για να διευκολύνει την απομακρυσμένη πρόσβαση, παρακάμπτοντας τα παραδοσιακά μέτρα ανίχνευσης.

    Πώς να μετριάσετε τις απειλές στην αλυσίδα εφοδιασμού

    Για την προστασία από αυτά τα επιβλαβή πακέτα και άλλες απειλές στην αλυσίδα εφοδιασμού, οι προγραμματιστές θα πρέπει να υιοθετήσουν τις ακόλουθες πρακτικές:

    • Επαλήθευση αυθεντικότητας πακέτου : Ελέγξτε το ιστορικό του εκδότη και τους συνδέσμους του αποθετηρίου GitHub για να βεβαιωθείτε για τη νομιμότητα του πακέτου.
    • Τακτικός έλεγχος εξαρτήσεων : Ελέγχετε τακτικά τις εξαρτήσεις και βεβαιωθείτε ότι είναι ενημερωμένες και απαλλαγμένες από κακόβουλο κώδικα.
    • Επιβολή αυστηρών ελέγχων πρόσβασης : Εφαρμόστε αυστηρούς μηχανισμούς ελέγχου πρόσβασης για την προστασία των ιδιωτικών κλειδιών και άλλων ευαίσθητων διαπιστευτηρίων.

      • Επιπλέον, οι προγραμματιστές θα πρέπει να παραμένουν σε εγρήγορση για ασυνήθιστες εξερχόμενες συνδέσεις, ιδιαίτερα για την κίνηση SMTP, καθώς οι εισβολείς ενδέχεται να χρησιμοποιούν νόμιμες υπηρεσίες όπως το Gmail για την εξαγωγή δεδομένων. Είναι επίσης σημαντικό να αποφεύγετε να εμπιστεύεστε ένα πακέτο μόνο και μόνο επειδή υπάρχει για μεγάλο χρονικό διάστημα χωρίς να έχει αφαιρεθεί, καθώς αυτό θα μπορούσε να καλύψει μια μη ασφαλή δραστηριότητα.

      Τάσεις

      Webheroes.store

      Χωρίς κατηγοριοποίηση, Browser Hijackers, Απατεώνες Ιστότοποι
      Το Webheroes.store υπάρχει για να λειτουργεί ως πλατφόρμα αποκλειστικά για διαδικτυακές τακτικές. Οι χρήστες ενθαρρύνονται να κλείσουν τη σελίδα αμέσως μόλις προσγειωθούν σε αυτήν. Επιπλέον, η επαφή με το Webheroes.store εξαρχής είναι εξαιρετικά απίθανο να ήταν σκόπιμη. Στη συντριπτική πλειονότητα των περιπτώσεων, οι χρήστες οδηγούνται σε τέτοιους αμφίβολους προορισμούς ως αποτέλεσμα...

      Αποζημίωση DOGE σε θύματα απάτης σε όλο τον κόσμο...

      Phishing, Ανεπιθύμητη αλληλογραφία
      Το να παραμείνουμε σε επαγρύπνηση είναι πιο κρίσιμο από ποτέ. Καθημερινά, οι εγκληματίες του κυβερνοχώρου επινοούν νέους τρόπους χειραγώγησης ανυποψίαστων χρηστών—συχνά συγκαλύπτοντας τακτικές ως νόμιμες επικοινωνίες. Τα email απάτης ηλεκτρονικού ψαρέματος είναι ιδιαίτερα επικίνδυνα επειδή στοχεύουν στην εμπιστοσύνη και την περιέργεια ενός ατόμου, χρησιμοποιώντας συχνά επίσημη γλώσσα και...

      Περισσότερες εμφανίσεις

      Κακόβουλο λογισμικό

      Phishing, Ανεπιθύμητη αλληλογραφία
      32,903
      Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
      Φόρτωση...