Ļaunprātīgi Go moduļi izplata disku dzēšošu Linux ļaunprogrammatūru
Kiberdrošības pētnieki nesen ir atklājuši trīs kaitīgus Go moduļus, kas izmanto apmulsinātu kodu, lai ielādētu nedrošas slodzes, kas var neatgriezeniski sabojāt Linux sistēmas. Šie moduļi šķiet likumīgi, taču ir paredzēti, lai izpildītu attālas slodzes, kas izdzēš sistēmas primāro disku, padarot to neieslēdzamu.
Satura rādītājs
Identificētas nedrošas Go paketes
Ir iesaistīti šādi Go moduļi:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Šīs pakotnes satur ļoti apmulsinātu kodu, kas ir izstrādāts, lai lejupielādētu un izpildītu vērtumus, darbojoties Linux sistēmā.
Destruktīvas derīgās slodzes pārraksta kritiskos diska datus
Bojātais kods pārbauda Linux operētājsistēmu un, ja tāda tiek atklāta, izmanto wget, lai no attālināta servera izgūtu nākamās pakāpes vērtumu. Šis vērtums ir destruktīvs čaulas skripts, kas pārraksta sistēmas primāro disku (/dev/sda) ar nullēm. Tā rezultātā sistēma kļūst neieslēdzama, un nekādi datu atkopšanas rīki vai forenzikas procesi nevar atjaunot zaudēto informāciju, jo disks tiek neatgriezeniski iznīcināts. Šī metode izceļ ārkārtējos riskus, ko rada piegādes ķēdes uzbrukumi, kur likumīgs kods var radīt katastrofālus bojājumus Linux serveriem un izstrādātāju vidēm.
Pieaugoši draudi no krāpnieciskām NPM pakotnēm
Līdztekus nedrošu Go moduļu atklāšanai ir atklātas arī vairākas kaitīgas npm pakotnes. Šīs pakotnes ir paredzētas sensitīvas informācijas vākšanai, tostarp mnemoniskām sākuma frāzēm un privātām kriptovalūtas atslēgām, kas var novest pie lietotāju digitālo aktīvu zādzības.
Identificētas aizdomīgas npm pakotnes
Šādas npm pakotnes ir atzīmētas kā viltotas:
- kripto-šifrēt-ts
- react-native-scrollpageviewtest
- banku pakalpojumu pakete
- buttonfactoryserv-paypal
- Tommyboy testēšana
- atbilstības pārbaude — PayPal
- oauth2-paypal
- maksājumuapiplatformservice-paypal
- userbridge-paypal
- Lietotāja attiecības — PayPal
Šīs paketes ir ļaunprātīgi izstrādātas, lai izvilinātu sensitīvu informāciju, radot nopietnus draudus lietotāju privātumam un drošībai.
Ar ļaunprogrammatūru piesātinātas PyPI pakotnes ievāc kriptovalūtas datus
Arī Python Package Index (PyPI) repozitorijā ir novērots tādu kompromitētu pakotņu pieaugums, kas vērstas pret kriptovalūtu makiem. Kopš to izlaišanas 2024. gadā šīs pakotnes ir lejupielādētas vairāk nekā 6800 reižu, un tās ir paredzētas mnemonisku sākuma frāžu zagšanai, apdraudot lietotāju kriptovalūtu krājumus.
Ievērojamas nedrošas PyPI pakotnes
Divas galvenās paketes, kas paredzētas kriptovalūtu makiem, ietver:
- web3x
- šeitmaksas robots
Šo pakotņu mērķis ir no lietotājiem izgūt mnemoniskas sākuma frāzes, apdraudot viņu digitālos aktīvus. Turklāt tika atklāts vēl septiņu PyPI pakotņu komplekts, kas tagad ir noņemts, izmantojot Gmail SMTP serverus un WebSockets, lai izfiltrētu datus un izveidotu attālinātu piekļuvi.
Gmail datu izsūknēšana un attālināta komandu izpilde
Nedrošās PyPI pakotnes izmanto cietkodētus Gmail akreditācijas datus, lai pieteiktos Gmail SMTP serverī un nosūtītu ziņojumu uz citu Gmail adresi, norādot uz veiksmīgu kompromitēšanu. Pēc tam tiek izveidots WebSocket savienojums, kas ļauj uzbrucējam uzturēt divvirzienu saziņu ar apdraudēto sistēmu.
Gmail domēnu (smtp.gmail.com) izmantošana padara šos uzbrukumus neuzkrītošākus, jo korporatīvie starpniekserveri un galapunktu aizsardzības sistēmas, ņemot vērā ar Gmail pakalpojumiem saistīto uzticamību, retāk tos atzīmē kā aizdomīgus.
Izcilākā pakotne: cfc-bsb
Pakotne cfc-bsb ir ievērības cienīga, jo tajā nav Gmail funkcionalitātes, bet gan tiek izmantota WebSocket loģika, lai atvieglotu attālo piekļuvi, apejot tradicionālos noteikšanas pasākumus.
Kā mazināt piegādes ķēdes apdraudējumus
Lai aizsargātu pret šīm kaitīgajām pakotnēm un citiem piegādes ķēdes apdraudējumiem, izstrādātājiem jāievēro šāda prakse:
- Pārbaudiet pakotnes autentiskumu : pārbaudiet izdevēja vēsturi un GitHub repozitorija saites, lai pārliecinātos par pakotnes leģitimitāti.
- Regulāri pārbaudiet atkarības : regulāri pārbaudiet atkarības un pārliecinieties, ka tās ir atjauninātas un nesatur ļaunprātīgu kodu.
- Ieviesiet stingru piekļuves kontroli : ieviesiet stingrus piekļuves kontroles mehānismus, lai aizsargātu privātās atslēgas un citus sensitīvus akreditācijas datus.
Turklāt izstrādātājiem jābūt modriem attiecībā uz neparastiem izejošajiem savienojumiem, īpaši SMTP datplūsmu, jo uzbrucēji var izmantot likumīgus pakalpojumus, piemēram, Gmail, datu noplūdei. Ir arī svarīgi neuzticēties pakotnei tikai tāpēc, ka tā pastāv ilgu laiku un nav noņemta, jo tas varētu maskēt nedrošas darbības.
