दुर्भावनापूर्ण गो मॉड्यूल डिस्क-वाइपिंग लिनक्स मैलवेयर फैलाते हैं
साइबर सुरक्षा शोधकर्ताओं ने हाल ही में तीन हानिकारक गो मॉड्यूल का पता लगाया है जो असुरक्षित पेलोड लाने के लिए अस्पष्ट कोड का उपयोग करते हैं, जो लिनक्स सिस्टम को अपरिवर्तनीय रूप से नुकसान पहुंचा सकते हैं। ये मॉड्यूल वैध प्रतीत होते हैं लेकिन इन्हें रिमोट पेलोड निष्पादित करने के लिए डिज़ाइन किया गया है जो सिस्टम की प्राथमिक डिस्क को मिटा देता है, जिससे यह बूट करने योग्य नहीं रह जाता है।
विषयसूची
पहचाने गए असुरक्षित गो पैकेज
निम्नलिखित गो मॉड्यूल शामिल हैं:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
इन पैकेजों में अत्यधिक अस्पष्ट कोड होता है, जिसे लिनक्स सिस्टम पर चलाने पर पेलोड को डाउनलोड करने और निष्पादित करने के लिए डिज़ाइन किया गया है।
विनाशकारी पेलोड महत्वपूर्ण डिस्क डेटा को अधिलेखित कर देते हैं
क्षतिग्रस्त कोड लिनक्स ऑपरेटिंग सिस्टम की जांच करता है और यदि पता चलता है, तो रिमोट सर्वर से अगले चरण का पेलोड लाने के लिए wget का उपयोग करता है। यह पेलोड एक विनाशकारी शेल स्क्रिप्ट है जो सिस्टम की प्राथमिक डिस्क (/dev/sda) को शून्य से अधिलेखित कर देता है। परिणामस्वरूप, सिस्टम बूट करने योग्य नहीं रह जाता है, और कोई भी डेटा रिकवरी टूल या फोरेंसिक प्रक्रिया खोई हुई जानकारी को पुनर्स्थापित नहीं कर सकती है, क्योंकि डिस्क अपरिवर्तनीय रूप से नष्ट हो जाती है। यह विधि आपूर्ति-श्रृंखला हमलों से उत्पन्न अत्यधिक जोखिमों को उजागर करती है, जहां वैध कोड लिनक्स सर्वर और डेवलपर वातावरण को विनाशकारी नुकसान पहुंचा सकता है।
धोखाधड़ी वाले एनपीएम पैकेजों से बढ़ता खतरा
असुरक्षित गो मॉड्यूल की खोज के साथ-साथ, कई हानिकारक एनपीएम पैकेज भी पाए गए हैं। ये पैकेज संवेदनशील जानकारी को इकट्ठा करने के लिए डिज़ाइन किए गए हैं, जिसमें स्मृति चिन्ह वाले बीज वाक्यांश और निजी क्रिप्टोकरेंसी कुंजियाँ शामिल हो सकती हैं, जिससे उपयोगकर्ताओं की डिजिटल संपत्तियों की चोरी हो सकती है।
संदिग्ध npm पैकेज की पहचान की गई
निम्नलिखित एनपीएम पैकेजों को छेड़छाड़ के रूप में चिह्नित किया गया है:
- क्रिप्टो-एन्क्रिप्ट-टीएस
- रिएक्ट-नेटिव-स्क्रॉलपेजव्यूटेस्ट
- बैंकिंगबंडलसर्व
- बटनफैक्ट्रीसर्व-पेपैल
- टॉमीबॉयटेस्टिंग
- compliancereadserv-पेपैल
- oauth2-पेपैल
- paymentapiplatformservice-पेपैल
- यूजरब्रिज-पेपैल
- उपयोगकर्ता संबंध-पेपैल
ये पैकेज संवेदनशील जानकारी चुराने के लिए क्रूरतापूर्वक तैयार किए गए हैं, जिससे उपयोगकर्ताओं की गोपनीयता और सुरक्षा को भारी खतरा पैदा हो सकता है।
मैलवेयर से भरे PyPI पैकेज क्रिप्टोकरेंसी डेटा चुराते हैं
पायथन पैकेज इंडेक्स (PyPI) रिपॉजिटरी ने भी क्रिप्टोक्यूरेंसी वॉलेट को लक्षित करने वाले समझौता किए गए पैकेजों में वृद्धि देखी है। 2024 में रिलीज़ होने के बाद से इन पैकेजों को 6,800 से अधिक बार डाउनलोड किया गया है और इन्हें उपयोगकर्ताओं की क्रिप्टोक्यूरेंसी होल्डिंग्स से समझौता करते हुए स्मृति चिन्हों को चुराने के लिए डिज़ाइन किया गया है।
उल्लेखनीय असुरक्षित PyPI पैकेज
क्रिप्टोकरेंसी वॉलेट्स को लक्षित करने वाले दो प्रमुख पैकेजों में शामिल हैं:
- वेब3x
- हियरवॉलेटबॉट
इन पैकेजों का उद्देश्य उपयोगकर्ताओं से स्मृति संबंधी बीज वाक्यांशों को चुराना है, जिससे उनकी डिजिटल संपत्तियां खतरे में पड़ जाती हैं। इसके अतिरिक्त, सात PyPI पैकेजों का एक और सेट, जिसे अब हटा दिया गया है, डेटा को बाहर निकालने और दूरस्थ पहुँच स्थापित करने के लिए Gmail के SMTP सर्वर और WebSockets का उपयोग करते हुए पाया गया।
जीमेल-आधारित डेटा एक्सफ़िलट्रेशन और रिमोट कमांड निष्पादन
असुरक्षित PyPI पैकेज Gmail के SMTP सर्वर में साइन इन करने के लिए हार्ड-कोडेड Gmail क्रेडेंशियल का उपयोग करते हैं और सफल समझौता को इंगित करने के लिए किसी अन्य Gmail पते पर संदेश भेजते हैं। इसके बाद, एक WebSocket कनेक्शन स्थापित किया जाता है, जिससे हमलावर समझौता किए गए सिस्टम के साथ द्विदिश संचार बनाए रख सकता है।
जीमेल डोमेन (smtp.gmail.com) का उपयोग इन हमलों को अधिक गुप्त बनाता है, क्योंकि जीमेल सेवाओं के साथ जुड़े विश्वास को देखते हुए, कॉर्पोरेट प्रॉक्सी और एंडपॉइंट सुरक्षा प्रणालियों द्वारा उन्हें संदिग्ध के रूप में चिह्नित करने की संभावना कम होती है।
स्टैंडआउट पैकेज: cfc-bsb
पैकेज cfc-bsb उल्लेखनीय है क्योंकि इसमें जीमेल कार्यक्षमता नहीं है, बल्कि यह पारंपरिक पहचान उपायों को दरकिनार करते हुए दूरस्थ पहुंच को सुविधाजनक बनाने के लिए वेबसॉकेट लॉजिक का उपयोग करता है।
आपूर्ति शृंखला के खतरों को कैसे कम करें
इन हानिकारक पैकेजों और अन्य आपूर्ति श्रृंखला खतरों से बचाव के लिए, डेवलपर्स को निम्नलिखित अभ्यास अपनाने चाहिए:
- पैकेज की प्रामाणिकता सत्यापित करें : पैकेज की वैधता सुनिश्चित करने के लिए प्रकाशक के इतिहास और GitHub रिपोजिटरी लिंक की जाँच करें।
- निर्भरताओं का नियमित रूप से ऑडिट करें : निर्भरताओं का नियमित रूप से ऑडिट करें और सुनिश्चित करें कि वे अद्यतन हैं और दुर्भावनापूर्ण कोड से मुक्त हैं।
- सख्त पहुंच नियंत्रण लागू करें : निजी कुंजियों और अन्य संवेदनशील क्रेडेंशियल्स की सुरक्षा के लिए सख्त पहुंच नियंत्रण तंत्र लागू करें।
इसके अतिरिक्त, डेवलपर्स को असामान्य आउटबाउंड कनेक्शन, विशेष रूप से SMTP ट्रैफ़िक के प्रति सतर्क रहना चाहिए, क्योंकि हमलावर डेटा एक्सफ़िल्टरेशन के लिए Gmail जैसी वैध सेवाओं का उपयोग कर सकते हैं। किसी पैकेज पर केवल इसलिए भरोसा करने से बचना भी महत्वपूर्ण है क्योंकि यह बिना हटाए लंबे समय से मौजूद है, क्योंकि यह असुरक्षित गतिविधि को छिपा सकता है।
