Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara Pahatahtlikud Go moodulid levitavad kettaid pühkivat...

Pahatahtlikud Go moodulid levitavad kettaid pühkivat Linuxi pahavara

Aastaks Mezo aastal Pahavara
Tõlgi:

Küberturvalisuse uurijad on hiljuti avastanud kolm kahjulikku Go moodulit, mis kasutavad ohtlike koormuste hankimiseks hägustatud koodi, mis võib Linuxi süsteeme pöördumatult kahjustada. Need moodulid tunduvad olevat legitiimsed, kuid on loodud käivitama kaugkoormusi, mis kustutavad süsteemi peamise ketta, muutes selle käivitamiskõlbmatuks.

Tuvastatud ohtlikud Go-paketid

Järgmised Go moodulid on seotud:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Need paketid sisaldavad väga hägustatud koodi, mis on loodud Linuxi süsteemis töötades kasulike koormuste allalaadimiseks ja käivitamiseks.

Hävitavad kasulikud koormused kirjutavad kriitiliste kettaandmete üle

Kahjustatud kood otsib Linuxi operatsioonisüsteemi ja kui see tuvastatakse, kasutab see wget'i, et hankida kaugserverist järgmise etapi kasulik koormus. See kasulik koormus on hävitav shelliskript, mis kirjutab süsteemi peamise ketta (/dev/sda) nullidega üle. Selle tulemusel muutub süsteem käivitamatuks ja ükski andmete taastamise tööriist ega kohtuekspertiisi protsess ei suuda kaotatud teavet taastada, kuna ketas hävib pöördumatult. See meetod rõhutab tarneahela rünnakutega kaasnevaid äärmuslikke riske, kus õigustatud kood võib põhjustada Linuxi serveritele ja arendajakeskkondadele katastroofilist kahju.

Kasvav oht petturlikest NPM-pakettidest

Lisaks ohtlike Go moodulite avastamisele on avastatud ka mitu kahjulikku npm-paketti. Need paketid on loodud tundliku teabe kogumiseks, mis võib sisaldada mnemoonilisi algfraase ja privaatseid krüptovaluutavõtmeid, mis võivad viia kasutajate digitaalsete varade varguseni.

Tuvastatud kahtlased npm-paketid

Järgmised npm-paketid on märgitud manipuleerituks:

  • krüpto-krüpti-ts
  • react-native-scrollpageview test
  • panganduskimpude teenus
  • buttonfactoryserv-paypal
  • tommyboytesting
  • vastavusreadserv-paypal
  • oauth2-paypal
  • makseapiplatvormiteenus-paypal
  • userbridge-paypal
  • Kasutajasuhe PayPaliga

Need paketid on kuritahtlikult loodud tundliku teabe väljafiltreerimiseks, kujutades endast tohutut ohtu kasutajate privaatsusele ja turvalisusele.

Pahavaraga koormatud PyPI paketid koguvad krüptovaluutaandmeid

Python Package Indexi (PyPI) repositooriumis on samuti täheldatud krüptovaluuta rahakottidele suunatud ohustatud pakettide sagenemist. Neid pakette on alates nende avaldamisest 2024. aastal alla laaditud üle 6800 korra ja need on loodud mnemooniliste algfraaside varastamiseks, mis kahjustavad kasutajate krüptovaluutade varasid.

Märkimisväärsed ebaturvalised PyPI paketid

Kaks peamist krüptovaluuta rahakottidele suunatud paketti hõlmavad järgmist:

  • web3x
  • siinrahakotirobot

Nende pakettide eesmärk on kasutajatelt mnemooniliste algfraaside varastamine, seades ohtu nende digitaalsed varad. Lisaks avastati veel seitse PyPI paketti, mis on nüüdseks eemaldatud ja mis kasutasid Gmaili SMTP-servereid ja WebSocket'e andmete väljafiltreerimiseks ja kaugjuurdepääsu loomiseks.

Gmail-põhine andmete väljafiltreerimine ja käskude kaugkäivitamine

Ebaturvalised PyPI paketid kasutavad Gmaili SMTP-serverisse sisselogimiseks ja eduka ohustamise kohta teate saatmiseks teisele Gmaili aadressile kõvakodeeritud Gmaili sisselogimisandmeid. Pärast seda luuakse WebSocket-ühendus, mis võimaldab ründajal säilitada kahesuunalist suhtlust ohustatud süsteemiga.

Gmaili domeenide (smtp.gmail.com) kasutamine muudab need rünnakud salajasemaks, kuna ettevõtete puhverserverid ja lõpp-punkti kaitsesüsteemid märgistavad neid Gmaili teenustega seotud usalduse tõttu väiksema tõenäosusega kahtlastena.

Silmapaistev pakett: cfc-bsb

Pakett cfc-bsb on tähelepanuväärne, kuna see ei sisalda Gmaili funktsionaalsust, vaid kasutab kaugjuurdepääsu hõlbustamiseks WebSocketi loogikat, möödudes traditsioonilistest tuvastusmeetmetest.

Kuidas leevendada tarneahela ohte

Nende kahjulike pakettide ja muude tarneahela ohtude eest kaitsmiseks peaksid arendajad võtma kasutusele järgmised tavad:

  • Paketi autentsuse kontrollimine : kontrollige avaldaja ajalugu ja GitHubi hoidla linke, et veenduda paketi õigsuses.
  • Auditeerige sõltuvusi regulaarselt : auditeerige sõltuvusi regulaarselt ja veenduge, et need on ajakohased ja pahatahtlikust koodist vabad.
  • Rangete juurdepääsukontrolli meetmete rakendamine : rakendage privaatvõtmete ja muude tundlike volituste kaitsmiseks rangeid juurdepääsukontrolli mehhanisme.

Lisaks peaksid arendajad olema valvsad ebatavaliste väljaminevate ühenduste, eriti SMTP-liikluse suhtes, kuna ründajad võivad andmete väljavooluks kasutada legitiimseid teenuseid, näiteks Gmaili. Samuti on oluline vältida paketi usaldamist ainult seetõttu, et see on pikka aega eksisteerinud ja seda pole eemaldatud, kuna see võib varjata ohtlikku tegevust.

Trendikas

DOGE hüvitis pettuseohvritele ülemaailmne meilipettus

Andmepüük, Rämpspost
Valvsuse säilitamine on kriitilisem kui kunagi varem. Küberkurjategijad mõtlevad iga päev välja uusi viise pahaaimamatute kasutajatega manipuleerimiseks – sageli maskeerides taktikat seaduslikuks suhtluseks. Andmepüügikelmuse meilid on eriti ohtlikud, kuna need on suunatud inimese usaldusele ja uudishimule ning kasutavad sageli ametlikult kõlavat keelt ja logosid, et näida usaldusväärsed. Üks...

Enim vaadatud

Laadimine...