מודולי Go זדוניים מפיצים תוכנות זדוניות למחיקת דיסק בלינוקס

חוקרי אבטחת סייבר חשפו לאחרונה שלושה מודולי Go מזיקים המשתמשים בקוד ערום כדי לאחזר מטענים לא בטוחים, דבר שעלול לפגוע באופן בלתי הפיך במערכות לינוקס. מודולים אלה נראים לגיטימיים אך נועדו להריץ מטענים מרוחקים שמוחקים את הדיסק הראשי של המערכת, מה שהופך אותו לבלתי ניתן לאתחול.

חבילות Go לא בטוחות שזוהו

מודולי Go הבאים מעורבים:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

חבילות אלו מכילות קוד מעורפל מאוד, אשר תוכנן להוריד ולהפעיל מטענים כאשר הוא רץ על מערכת לינוקס.

עומסי מטען הרסניים דורסים נתוני דיסק קריטיים

הקוד הפגום בודק אם יש מערכת הפעלה לינוקס, ואם מתגלה, משתמש ב-wget כדי לאחזר מטען בשלב הבא משרת מרוחק. מטען זה הוא סקריפט מעטפת הרסני הדורס את הדיסק הראשי של המערכת (/dev/sda) באפסים. כתוצאה מכך, המערכת הופכת לבלתי ניתנת לאתחול, ואף כלי שחזור נתונים או תהליכים פורנזיים לא יכולים לשחזר את המידע האבוד, מכיוון שהדיסק נהרס באופן בלתי הפיך. שיטה זו מדגישה את הסיכונים הקיצוניים הנשקפים מתקפות שרשרת אספקה, שבהן קוד לגיטימי עלול לגרום נזק קטסטרופלי לשרתי לינוקס ולסביבות מפתחים.

איום גובר מחבילות npm הונאה

לצד גילוי מודולי Go לא בטוחים, התגלו גם מספר חבילות npm מזיקות. חבילות אלו נועדו לאסוף מידע רגיש, שעשוי לכלול ביטויי זרע (seed phrases) ומפתחות קריפטוגרפיים פרטיים, מה שעלול להוביל לגניבת נכסים דיגיטליים של משתמשים.

זוהו חבילות npm חשודות

חבילות ה-npm הבאות סומנו ככאלו שנפגעו:

• הצפנת קריפטו-TS
• react-native-scrollpageviewtest
• חבילות בנקאות
• כפתורי מפעל-פייפאל
• טומיבוי בדיקות
• תאימות readserv-paypal
• oauth2-paypal

חבילות אלה מעוצבות באכזריות כדי לחלץ מידע רגיש, ומהוות איום עצום על פרטיותם ואבטחתם של המשתמשים.

חבילות PyPI עמוסות בתוכנות זדוניות אוספות נתוני מטבעות קריפטוגרפיים

מאגר Python Package Index (PyPI) ראה גם עלייה במספר החבילות שנפרצו המכוונות לארנקי מטבעות קריפטוגרפיים. חבילות אלו הורדו למעלה מ-6,800 פעמים מאז יציאתן בשנת 2024 ונועדו לגנוב ביטויי זיכרון (seed phrases), ובכך לפגוע באחזקות המטבעות הקריפטוגרפיים של המשתמשים.

חבילות PyPI לא בטוחות בולטות

שתי חבילות עיקריות המכוונות לארנקי קריפטו כוללות:

• web3x
• ארנק כאן

חבילות אלו נועדו לשאוב ביטויי זיכרון ממשתמשים, ובכך לסכן את הנכסים הדיגיטליים שלהם. בנוסף, קבוצה נוספת של שבע חבילות PyPI, שכעת הוסרו, התגלתה באמצעות שרתי ה-SMTP וה-WebSockets של Gmail כדי לחלץ נתונים וליצור גישה מרחוק.

סינון נתונים מבוסס ג'ימייל וביצוע פקודות מרחוק

חבילות PyPI לא בטוחות משתמשות בפרטי גישה מקודדים של Gmail כדי להיכנס לשרת ה-SMTP של Gmail ולשלוח הודעה לכתובת Gmail אחרת כדי לציין פריצה מוצלחת. לאחר מכן, נוצר חיבור WebSocket, המאפשר לתוקף לשמור על תקשורת דו-כיוונית עם המערכת שנפגעה.

השימוש בדומיינים של Gmail (smtp.gmail.com) הופך את ההתקפות הללו לחשאיות יותר, מכיוון שפרוקסי ארגוניים ומערכות הגנה על נקודות קצה נוטים פחות לסמן אותן כחשודות, בהתחשב באמון הקשור לשירותי Gmail.

חבילה בולטת: cfc-bsb

החבילה cfc-bsb ראויה לציון מכיוון שהיא אינה כוללת פונקציונליות של Gmail, אלא משתמשת בלוגיקת WebSocket כדי להקל על גישה מרחוק, תוך עקיפת אמצעי זיהוי מסורתיים.

כיצד למתן איומי שרשרת האספקה

כדי להגן מפני חבילות מזיקות אלה ואיומים אחרים בשרשרת האספקה, על המפתחים לאמץ את הנהלים הבאים:

בנוסף, על מפתחים להישאר ערניים לחיבורים יוצאים חריגים, במיוחד תעבורת SMTP, מכיוון שתוקפים עלולים להשתמש בשירותים לגיטימיים כמו Gmail לצורך חילוץ נתונים. חשוב גם להימנע ממתן אמון בחבילה רק משום שהיא קיימת זמן רב מבלי שהוסרה, מכיוון שהדבר עלול להסתיר פעילות לא בטוחה.