Preventivo sconto multi-licenza
Database delle minacce Malware Moduli Go dannosi diffondono malware Linux che cancellano...

Moduli Go dannosi diffondono malware Linux che cancellano il disco

Entro Mezo nel Malware
Traduci in:

I ricercatori di sicurezza informatica hanno recentemente scoperto tre moduli Go dannosi che utilizzano codice offuscato per recuperare payload non sicuri, con il rischio di danneggiare irreversibilmente i sistemi Linux. Questi moduli sembrano legittimi, ma sono progettati per eseguire payload remoti che cancellano il disco primario di un sistema, rendendolo inavvertibile.

Pacchetti Go non sicuri identificati

Sono coinvolti i seguenti moduli Go:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Questi pacchetti contengono codice altamente offuscato, progettato per scaricare ed eseguire payload quando viene eseguito su un sistema Linux.

I payload distruttivi sovrascrivono i dati critici del disco

Il codice danneggiato verifica la presenza di un sistema operativo Linux e, se rilevato, utilizza wget per recuperare un payload di livello successivo da un server remoto. Questo payload è uno script shell distruttivo che sovrascrive il disco primario del sistema (/dev/sda) con degli zeri. Di conseguenza, il sistema diventa non avviabile e nessuno strumento di recupero dati o processo forense può ripristinare le informazioni perse, poiché il disco viene distrutto in modo irreversibile. Questo metodo evidenzia i rischi estremi rappresentati dagli attacchi alla catena di approvvigionamento, in cui il codice legittimo può causare danni catastrofici ai server Linux e agli ambienti di sviluppo.

Crescente minaccia da pacchetti npm fraudolenti

Oltre alla scoperta di moduli Go non sicuri, sono stati rilevati anche diversi pacchetti npm dannosi. Questi pacchetti sono progettati per raccogliere informazioni sensibili, tra cui frasi seed mnemoniche e chiavi private di criptovaluta, che possono portare al furto di risorse digitali degli utenti.

Pacchetti npm sospetti identificati

I seguenti pacchetti npm sono stati contrassegnati come manomessi:

  • cripto-cifrare-ts
  • test di visualizzazione della pagina di scorrimento nativo di React
  • servizio di bundle bancario
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • piattaforma di pagamento API servizio PayPal
  • userbridge-paypal
  • Relazione utente-PayPal

Questi pacchetti sono progettati in modo malizioso per sottrarre informazioni sensibili, rappresentando una minaccia enorme per la privacy e la sicurezza degli utenti.

Pacchetti PyPI carichi di malware raccolgono dati sulle criptovalute

Anche il repository Python Package Index (PyPI) ha visto un aumento di pacchetti compromessi che prendono di mira i wallet di criptovalute. Questi pacchetti sono stati scaricati oltre 6.800 volte dal loro rilascio nel 2024 e sono progettati per rubare frasi seed mnemoniche, compromettendo il patrimonio di criptovalute degli utenti.

Pacchetti PyPI non sicuri degni di nota

Due pacchetti chiave rivolti ai portafogli di criptovalute includono:

  • web3x
  • quiportafogliobot

Questi pacchetti mirano a sottrarre frasi mnemoniche agli utenti, mettendo a repentaglio il loro patrimonio digitale. Inoltre, è stato scoperto un altro set di sette pacchetti PyPI, ora rimossi, che utilizzavano i server SMTP e i WebSocket di Gmail per esfiltrare dati e stabilire l'accesso remoto.

Esfiltrazione di dati basata su Gmail ed esecuzione di comandi remoti

I pacchetti PyPI non sicuri utilizzano credenziali Gmail hard-coded per accedere al server SMTP di Gmail e inviare un messaggio a un altro indirizzo Gmail per indicare l'avvenuta compromissione. Successivamente, viene stabilita una connessione WebSocket, consentendo all'aggressore di mantenere una comunicazione bidirezionale con il sistema compromesso.

L'uso di domini Gmail (smtp.gmail.com) rende questi attacchi più subdoli, poiché è meno probabile che i proxy aziendali e i sistemi di protezione degli endpoint li segnalino come sospetti, data la fiducia associata ai servizi Gmail.

Pacchetto eccezionale: cfc-bsb

Il pacchetto cfc-bsb è degno di nota perché non presenta la funzionalità Gmail, ma utilizza la logica WebSocket per facilitare l'accesso remoto, aggirando le tradizionali misure di rilevamento.

Come mitigare le minacce alla catena di fornitura

Per proteggersi da questi pacchi dannosi e da altre minacce alla catena di fornitura, gli sviluppatori dovrebbero adottare le seguenti pratiche:

  • Verifica l'autenticità del pacchetto : controlla la cronologia dell'editore e i link al repository GitHub per garantire la legittimità del pacchetto.
  • Controlla regolarmente le dipendenze : controlla regolarmente le dipendenze e assicurati che siano aggiornate e prive di codice dannoso.
  • Applicare rigidi controlli di accesso : implementare rigidi meccanismi di controllo di accesso per proteggere le chiavi private e altre credenziali sensibili.

Inoltre, gli sviluppatori dovrebbero prestare attenzione alle connessioni in uscita insolite, in particolare al traffico SMTP, poiché gli aggressori potrebbero utilizzare servizi legittimi come Gmail per l'esfiltrazione dei dati. È inoltre fondamentale evitare di fidarsi di un pacchetto solo perché esiste da molto tempo e non è stato rimosso, poiché ciò potrebbe mascherare attività pericolose.

Tendenza

I più visti

Caricamento in corso...