Grėsmių duomenų bazė Kenkėjiška programa Kenkėjiški „Go“ moduliai platina diskus naikinančią...

Kenkėjiški „Go“ moduliai platina diskus naikinančią „Linux“ kenkėjišką programinę įrangą

Kibernetinio saugumo tyrėjai neseniai atskleidė tris kenksmingus „Go“ modulius, kurie naudoja užmaskuotą kodą nesaugioms apkrovoms gauti, o tai gali negrįžtamai pažeisti „Linux“ sistemas. Šie moduliai atrodo teisėti, tačiau yra skirti vykdyti nuotolines apkrovas, kurios išvalo pagrindinį sistemos diską, todėl ji tampa nepaleidžiama.

Nustatyti nesaugūs „Go“ paketai

Šie „Go“ moduliai yra susiję:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Šiuose paketuose yra labai užmaskuotas kodas, kuris sukurtas taip, kad „Linux“ sistemoje būtų galima atsisiųsti ir vykdyti naudingąją apkrovą.

Naikinamieji naudingieji krūviai perrašo kritinius disko duomenis

Pažeistas kodas ieško „Linux“ operacinės sistemos ir, jei aptinkama, naudoja „wget“, kad gautų kito etapo naudingąją apkrovą iš nuotolinio serverio. Ši naudingoji apkrova yra destruktyvus apvalkalo scenarijus, kuris perrašo pagrindinį sistemos diską (/dev/sda) nuliais. Dėl to sistema tampa nepaleidžiama, ir jokios duomenų atkūrimo priemonės ar teismo ekspertizės procesai negali atkurti prarastos informacijos, nes diskas negrįžtamai sunaikinamas. Šis metodas pabrėžia didelę tiekimo grandinės atakų keliamą riziką, kai teisėtas kodas gali padaryti katastrofišką žalą „Linux“ serveriams ir kūrėjų aplinkoms.

Auganti grėsmė dėl apgaulingų NPM paketų

Be nesaugių „Go“ modulių, taip pat buvo aptikti keli kenksmingi „npm“ paketai. Šie paketai skirti rinkti neskelbtiną informaciją, kuri gali apimti mnemonines sėklų frazes ir privačius kriptovaliutų raktus, o tai gali lemti vartotojų skaitmeninio turto vagystę.

Nustatyti įtartini npm paketai

Šie npm paketai buvo pažymėti kaip sugadinti:

  • crypto-encrypt-ts
  • react-native-scrollpageviewtest
  • bankininkystės paketų paslauga
  • buttonfactoryserv-paypal
  • TommyBoy testavimas
  • atitiktiesreadserv-paypal
  • oauth2-paypal
  • mokėjimųapiplatformservice-paypal
  • userbridge-paypal
  • Vartotojo santykiai – PayPal

Šie paketai yra žiauriai sukurti taip, kad išgauti neskelbtiną informaciją, keldami didžiulę grėsmę vartotojų privatumui ir saugumui.

Kenkėjiškų programų užkrauti PyPI paketai renka kriptovaliutų duomenis

„Python Package Index“ (PyPI) saugykloje taip pat pastebėtas padaugėjęs pažeistų paketų, skirtų kriptovaliutų piniginėms. Nuo jų išleidimo 2024 m. šie paketai buvo atsisiųsti daugiau nei 6800 kartų ir yra skirti vogti mnemonines frazes, taip pažeidžiant vartotojų kriptovaliutų likučius.

Žymūs nesaugūs PyPI paketai

Du pagrindiniai paketai, skirti kriptovaliutų piniginėms, apima:

  • web3x
  • čiapiniginės

Šiais paketais siekiama išgauti iš vartotojų mnemonines frazes, taip keliant pavojų jų skaitmeniniam turtui. Be to, buvo aptiktas dar vienas septynių „PyPI“ paketų rinkinys, kuris dabar jau pašalintas, naudojant „Gmail“ SMTP serverius ir „WebSockets“, kad išfiltruotų duomenis ir užmegztų nuotolinę prieigą.

Duomenų išgavimas naudojant „Gmail“ ir nuotolinis komandų vykdymas

Nesaugūs „PyPI“ paketai naudoja užkoduotus „Gmail“ prisijungimo duomenis, kad prisijungtų prie „Gmail“ SMTP serverio ir išsiųstų pranešimą kitu „Gmail“ adresu, nurodydami sėkmingą įsilaužimą. Po to užmezgamas „WebSocket“ ryšys, leidžiantis užpuolikui palaikyti dvikryptį ryšį su pažeista sistema.

„Gmail“ domenų (smtp.gmail.com) naudojimas šias atakas padaro slaptesnes, nes įmonių tarpiniai serveriai ir galinių taškų apsaugos sistemos yra mažiau linkusios jas pažymėti kaip įtartinas, atsižvelgiant į su „Gmail“ paslaugomis susijusį pasitikėjimą.

Išskirtinis paketas: cfc-bsb

Paketas „cfc-bsb“ vertas dėmesio, nes jame nėra „Gmail“ funkcionalumo, o naudojama „WebSocket“ logika nuotolinei prieigai palengvinti, apeinant tradicines aptikimo priemones.

Kaip sumažinti tiekimo grandinės grėsmes

Siekdami apsisaugoti nuo šių kenksmingų paketų ir kitų tiekimo grandinės grėsmių, kūrėjai turėtų laikytis šių praktikų:

  • Patikrinkite paketo autentiškumą : patikrinkite leidėjo istoriją ir „GitHub“ saugyklos nuorodas, kad įsitikintumėte paketo teisėtumu.
  • Reguliariai tikrinkite priklausomybes : reguliariai tikrinkite priklausomybes ir užtikrinkite, kad jos būtų atnaujintos ir be kenkėjiško kodo.
  • Griežtos prieigos kontrolės įgyvendinimas : Įdiekite griežtus prieigos kontrolės mechanizmus, kad apsaugotumėte privačius raktus ir kitus slaptus prisijungimo duomenis.

Be to, kūrėjai turėtų būti budrūs dėl neįprastų išeinančių ryšių, ypač SMTP srauto, nes užpuolikai gali naudoti teisėtas paslaugas, tokias kaip „Gmail“, duomenims nutekėti. Taip pat labai svarbu nepasitikėti paketu vien dėl to, kad jis egzistavo ilgą laiką ir nebuvo pašalintas, nes tai gali užmaskuoti nesaugią veiklą.

Tendencijos

Labiausiai žiūrima

Įkeliama...