Rosszindulatú Go modulok terjesztik a lemezt törölő Linux kártevőket
Kiberbiztonsági kutatók nemrégiben három káros Go modult fedeztek fel, amelyek obfuszkált kódot használnak nem biztonságos hasznos adatok lekérésére, ami visszafordíthatatlan károkat okozhat a Linux rendszerekben. Ezek a modulok legitimnek tűnnek, de úgy tervezték őket, hogy távoli hasznos adatokat futtassanak, amelyek törlik a rendszer elsődleges lemezét, így az indíthatatlanná válik.
Tartalomjegyzék
Azonosított nem biztonságos Go csomagok
A következő Go modulok érintettek:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Ezek a csomagok erősen obfuszkált kódot tartalmaznak, amelyet úgy terveztek, hogy Linux rendszeren futtatva hasznos adatokat töltsenek le és hajtsanak végre.
A romboló hasznos terhek felülírják a kritikus lemezadatokat
A sérült kód Linux operációs rendszert keres, és ha észleli, a wget segítségével kéri le a következő szintű hasznos adatot egy távoli szerverről. Ez a hasznos adat egy romboló shell szkript, amely nullákkal írja felül a rendszer elsődleges lemezét (/dev/sda). Ennek eredményeként a rendszer indíthatatlanná válik, és semmilyen adat-helyreállító eszköz vagy forenzikus folyamat nem tudja visszaállítani az elveszett információkat, mivel a lemez visszafordíthatatlanul megsemmisül. Ez a módszer rávilágít az ellátási lánc támadásai által jelentett extrém kockázatokra, ahol a legitim kód katasztrofális károkat okozhat a Linux szerverekben és a fejlesztői környezetekben.
Növekvő fenyegetés a csalárd npm csomagokból
A nem biztonságos Go modulok felfedezése mellett számos káros npm csomagot is észleltek. Ezek a csomagok érzékeny információk gyűjtésére szolgálnak, beleértve az emlékeztető kifejezéseket és a privát kriptovaluta-kulcsokat, amelyek a felhasználók digitális eszközeinek ellopásához vezethetnek.
Gyanús npm csomagok azonosítva
A következő npm csomagokat jelölték meg manipuláltként:
- crypto-encrypt-ts
- react-native-scrollpageviewteszt
- banki csomagszolgáltatás
- buttonfactoryserv-paypal
- tommyboytesztelés
- compliancereadserv-paypal
- oauth2-paypal
- fizetésiapiplatformszolgáltatás-paypal
- userbridge-paypal
- Felhasználói kapcsolatok – PayPal
Ezek a csomagok aljas módon úgy vannak kidolgozva, hogy bizalmas információkat szivárogtassanak ki, ami hatalmas fenyegetést jelent a felhasználók magánéletére és biztonságára.
Kártevőkkel teli PyPI csomagok kriptovaluta adatokat gyűjtenek
A Python Package Index (PyPI) adattárban is megjelentek a kriptovaluta-tárcákat célzó feltört csomagok. Ezeket a csomagokat több mint 6800 alkalommal töltötték le 2024-es megjelenésük óta, és arra tervezték őket, hogy emlékeztető kifejezéseket lopjanak, veszélyeztetve ezzel a felhasználók kriptovaluta-vagyonát.
Figyelemre méltó, nem biztonságos PyPI csomagok
Két fő, kriptovaluta-tárcákat célzó csomag a következő:
- web3x
- herewalletbot
Ezek a csomagok emlékeztető jellegű kifejezéseket próbálnak meg ellopni a felhasználóktól, veszélyeztetve digitális eszközeiket. Ezenkívül hét másik, azóta eltávolított PyPI csomagot is felfedeztek, amelyek a Gmail SMTP-szervereit és WebSockets-eit használták adatok kiszivárogtatására és távoli hozzáférés létrehozására.
Gmail-alapú adatkiszivárgás és távoli parancsvégrehajtás
A nem biztonságos PyPI csomagok fixen kódolt Gmail-hitelesítő adatokat használnak a Gmail SMTP-szerverére való bejelentkezéshez, és egy üzenetet küldenek egy másik Gmail-címre a sikeres kompromittálódás jelzésére. Ezt követően egy WebSocket-kapcsolat jön létre, amely lehetővé teszi a támadó számára, hogy kétirányú kommunikációt tartson fenn a feltört rendszerrel.
A Gmail-domének (smtp.gmail.com) használata ezeket a támadásokat észrevétlenebbé teszi, mivel a vállalati proxyk és végpontvédelmi rendszerek kisebb valószínűséggel jelölik meg őket gyanúsként, tekintettel a Gmail-szolgáltatásokhoz fűződő bizalomra.
Kiemelkedő csomag: cfc-bsb
A cfc-bsb csomag figyelemre méltó, mivel nem rendelkezik Gmail funkciókkal, hanem WebSocket logikát használ a távoli hozzáférés megkönnyítésére, megkerülve a hagyományos észlelési módszereket.
Hogyan mérsékelhetjük az ellátási lánc fenyegetéseit?
A káros csomagok és az ellátási láncot fenyegető egyéb fenyegetések elleni védelem érdekében a fejlesztőknek a következő gyakorlatokat kell alkalmazniuk:
- Csomag hitelességének ellenőrzése : Ellenőrizze a kiadó előzményeit és a GitHub adattár linkjeit a csomag hitelességének biztosítása érdekében.
- Függőségek rendszeres ellenőrzése : Rendszeresen ellenőrizze a függőségeket, és gondoskodjon arról, hogy naprakészek és mentesek legyenek a rosszindulatú kódoktól.
- Szigorú hozzáférés-vezérlés érvényesítése : Szigorú hozzáférés-vezérlési mechanizmusokat kell bevezetni a privát kulcsok és más érzékeny hitelesítő adatok védelme érdekében.
Ezenkívül a fejlesztőknek továbbra is ébernek kell lenniük a szokatlan kimenő kapcsolatok, különösen az SMTP-forgalom esetén, mivel a támadók legitim szolgáltatásokat, például a Gmailt használhatnak adatlopásra. Az is fontos, hogy ne bízzunk meg egy csomagban pusztán azért, mert az már régóta létezik anélkül, hogy eltávolították volna, mivel ez elfedheti a nem biztonságos tevékenységeket.
