ماژولهای مخرب Go، بدافزار پاککننده دیسک لینوکس را منتشر میکنند
محققان امنیت سایبری اخیراً سه ماژول مضر Go را کشف کردهاند که از کد مبهم برای دریافت بارهای داده ناامن استفاده میکنند که میتواند به سیستمهای لینوکس آسیبهای جبرانناپذیری وارد کند. این ماژولها ظاهراً قانونی به نظر میرسند اما برای اجرای بارهای داده از راه دور طراحی شدهاند که دیسک اصلی سیستم را پاک میکنند و آن را غیرقابل بوت میکنند.
فهرست مطالب
بستههای ناامن Go شناساییشده
ماژولهای Go زیر درگیر هستند:
github[.]com/truthfulpharm/prototransform
گیتهاب[.]com/blankloggia/go-mcp
گیتهاب[.]com/steelpoor/tlsproxy
این بستهها حاوی کد بسیار مبهمی هستند که به گونهای مهندسی شدهاند که هنگام اجرا روی سیستم لینوکس، پیلودها را دانلود و اجرا کنند.
بدافزارهای مخرب، دادههای حیاتی دیسک را رونویسی میکنند
کد آسیبدیده، سیستم عامل لینوکس را بررسی میکند و در صورت شناسایی، از wget برای دریافت بار داده مرحله بعدی از یک سرور راه دور استفاده میکند. این بار داده یک اسکریپت پوسته مخرب است که دیسک اصلی سیستم (/dev/sda) را با صفر رونویسی میکند. در نتیجه، سیستم غیرقابل بوت میشود و هیچ ابزار بازیابی اطلاعات یا فرآیندهای پزشکی قانونی نمیتواند اطلاعات از دست رفته را بازیابی کند، زیرا دیسک به طور برگشتناپذیری از بین میرود. این روش خطرات شدید ناشی از حملات زنجیره تأمین را برجسته میکند، جایی که کد مشروع میتواند آسیب فاجعهباری به سرورهای لینوکس و محیطهای توسعهدهنده وارد کند.
تهدید فزاینده از جانب بستههای جعلی npm
در کنار کشف ماژولهای ناامن Go، چندین بسته npm مضر نیز شناسایی شدهاند. این بستهها برای جمعآوری اطلاعات حساس طراحی شدهاند که ممکن است شامل عبارات بازیابی رمز عبور (mnemonic seed phrase) و کلیدهای خصوصی ارزهای دیجیتال باشد که میتواند منجر به سرقت داراییهای دیجیتال کاربران شود.
بستههای مشکوک npm شناسایی شدند
بستههای npm زیر به عنوان دستکاریشده علامتگذاری شدهاند:
- رمزنگاری-رمزگذاری-تیاس
- تست پیمایش-صفحه-نمایش واکنشگرا (react-native)
- bankingbundleserv
- buttonfactoryserv-پیپال
- تامیبویتست
- complimentationreadserv-پیپال
- oauth2-پیپال
این بستهها به طرز وحشیانهای برای استخراج اطلاعات حساس ساخته شدهاند و تهدید بزرگی برای حریم خصوصی و امنیت کاربران محسوب میشوند.
بستههای PyPI حاوی بدافزار، دادههای ارز دیجیتال را جمعآوری میکنند
مخزن فهرست بستههای پایتون (PyPI) نیز شاهد افزایش بستههای آلودهای بوده است که کیف پولهای ارز دیجیتال را هدف قرار میدهند. این بستهها از زمان انتشارشان در سال ۲۰۲۴ بیش از ۶۸۰۰ بار دانلود شدهاند و برای سرقت عبارات بازیابی حافظه (mnemonic seed phrase) و به خطر انداختن داراییهای ارز دیجیتال کاربران طراحی شدهاند.
بستههای ناامن قابل توجه PyPI
دو بسته کلیدی که کیف پولهای ارز دیجیتال را هدف قرار میدهند عبارتند از:
- وب۳ایکس
- ربات herewallet
این بستهها با هدف سرقت عبارات بازیابی حافظه از کاربران، داراییهای دیجیتال آنها را به خطر میاندازند. علاوه بر این، مجموعهای دیگر از هفت بسته PyPI که اکنون حذف شدهاند، با استفاده از سرورهای SMTP و WebSockets جیمیل برای استخراج دادهها و ایجاد دسترسی از راه دور کشف شدند.
استخراج دادهها و اجرای دستورات از راه دور مبتنی بر جیمیل
بستههای ناامن PyPI از اعتبارنامههای جیمیل که به صورت هاردکد ذخیره شدهاند، برای ورود به سرور SMTP جیمیل استفاده میکنند و پیامی را به آدرس جیمیل دیگری ارسال میکنند تا نشان دهند که حمله موفقیتآمیز بوده است. پس از این، یک اتصال WebSocket برقرار میشود و به مهاجم اجازه میدهد تا ارتباط دو طرفه را با سیستم مورد نفوذ حفظ کند.
استفاده از دامنههای جیمیل (smtp.gmail.com) این حملات را مخفیانهتر میکند، زیرا با توجه به اعتمادی که به سرویسهای جیمیل وجود دارد، پروکسیهای شرکتی و سیستمهای محافظت از نقاط پایانی کمتر احتمال دارد که آنها را به عنوان مشکوک علامتگذاری کنند.
بستهبندی برجسته: cfc-bsb
بستهی cfc-bsb قابل توجه است زیرا قابلیتهای Gmail را ارائه نمیدهد، اما در عوض از منطق WebSocket برای تسهیل دسترسی از راه دور استفاده میکند و اقدامات تشخیص سنتی را دور میزند.
چگونه تهدیدات زنجیره تأمین را کاهش دهیم
برای محافظت در برابر این بستههای مضر و سایر تهدیدات زنجیره تأمین، توسعهدهندگان باید شیوههای زیر را اتخاذ کنند:
علاوه بر این، توسعهدهندگان باید مراقب اتصالات خروجی غیرمعمول، به ویژه ترافیک SMTP، باشند، زیرا مهاجمان ممکن است از سرویسهای قانونی مانند Gmail برای استخراج دادهها استفاده کنند. همچنین بسیار مهم است که از اعتماد به یک بسته صرفاً به این دلیل که مدت زیادی بدون حذف وجود داشته است، خودداری کنید، زیرا این امر میتواند فعالیتهای ناامن را پنهان کند.
