Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Modul Go Berniat Hasad Menyebarkan Perisian Hasad Linux...

Modul Go Berniat Hasad Menyebarkan Perisian Hasad Linux Penyapu Cakera

Menjelang Mezo pada perisian hasad
Terjemahkan ke

Penyelidik keselamatan siber baru-baru ini telah menemui tiga modul Go berbahaya yang menggunakan kod yang dikaburkan untuk mengambil muatan yang tidak selamat, yang boleh merosakkan sistem Linux secara tidak dapat dipulihkan. Modul ini nampaknya sah tetapi direka bentuk untuk melaksanakan muatan jauh yang memadamkan cakera utama sistem, menjadikannya tidak boleh diboot.

Pakej Tidak Selamat Go yang dikenal pasti

Modul Go berikut terlibat:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Pakej ini mengandungi kod yang sangat dikelirukan, yang direka bentuk untuk memuat turun dan melaksanakan muatan apabila dijalankan pada sistem Linux.

Muatan Memusnahkan Menimpa Data Cakera Kritikal

Kod yang rosak menyemak sistem pengendalian Linux dan, jika dikesan, menggunakan wget untuk mengambil muatan peringkat seterusnya daripada pelayan jauh. Muatan ini ialah skrip shell yang merosakkan yang menimpa cakera utama sistem (/dev/sda) dengan sifar. Akibatnya, sistem menjadi tidak boleh boot, dan tiada alat pemulihan data atau proses forensik boleh memulihkan maklumat yang hilang, kerana cakera dimusnahkan secara tidak dapat dipulihkan. Kaedah ini menyerlahkan risiko melampau yang ditimbulkan oleh serangan rantaian bekalan, di mana kod yang sah boleh menyebabkan kerosakan teruk pada pelayan Linux dan persekitaran pembangun.

Ancaman yang semakin meningkat daripada Pakej npm Penipuan

Di samping penemuan modul Go yang tidak selamat, pelbagai pakej npm berbahaya juga telah dikesan. Pakej ini direka bentuk untuk mendapatkan maklumat sensitif, yang mungkin termasuk frasa benih mnemonik dan kunci mata wang kripto peribadi, yang boleh menyebabkan kecurian aset digital pengguna.

Pakej npm yang mencurigakan dikenal pasti

Pakej npm berikut telah dibenderakan sebagai diusik:

  • crypto-encrypt-ts
  • react-native-scrollpageviewtest
  • bankingbundleserv
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • paymentapiplatformservice-paypal
  • userbridge-paypal
  • Hubungan pengguna-paypal

Pakej ini direka dengan kejam untuk mengeluarkan maklumat sensitif, menimbulkan ancaman besar kepada privasi dan keselamatan pengguna.

Pakej PyPI Sarat Hasad Mengumpul Data Mata Wang Kripto

Repositori Indeks Pakej Python (PyPI) juga telah menyaksikan peningkatan pakej yang terjejas yang menyasarkan dompet mata wang kripto. Pakej ini telah dimuat turun lebih 6,800 kali sejak dikeluarkan pada 2024 dan direka bentuk untuk mencuri frasa benih mnemonik, menjejaskan pegangan mata wang kripto pengguna.

Pakej PyPI Tidak Selamat yang terkenal

Dua pakej utama yang menyasarkan dompet mata wang kripto termasuk:

  • web3x
  • herewalletbot

Pakej ini bertujuan untuk menyedut frasa benih mnemonik daripada pengguna, membahayakan aset digital mereka. Selain itu, satu lagi set tujuh pakej PyPI, yang kini telah dialih keluar, ditemui menggunakan pelayan SMTP dan WebSockets Gmail untuk mengeluarkan data dan mewujudkan akses jauh.

Penyingkiran Data Berasaskan Gmail dan Pelaksanaan Perintah Jauh

Pakej PyPI yang tidak selamat menggunakan bukti kelayakan Gmail berkod keras untuk log masuk ke pelayan SMTP Gmail dan menghantar mesej ke alamat Gmail lain untuk menunjukkan kompromi yang berjaya. Selepas ini, sambungan WebSocket diwujudkan, membolehkan penyerang mengekalkan komunikasi dua hala dengan sistem yang terjejas.

Penggunaan domain Gmail (smtp.gmail.com) menjadikan serangan ini lebih tersembunyi, kerana proksi korporat dan sistem perlindungan titik akhir kurang berkemungkinan membenderakannya sebagai mencurigakan, memandangkan kepercayaan yang dikaitkan dengan perkhidmatan Gmail.

Pakej Terserlah: cfc-bsb

Pakej cfc-bsb patut diberi perhatian kerana ia tidak menampilkan fungsi Gmail tetapi sebaliknya menggunakan logik WebSocket untuk memudahkan capaian jauh, memintas langkah pengesanan tradisional.

Cara Mengurangkan Ancaman Rantaian Bekalan

Untuk melindungi daripada pakej berbahaya ini dan ancaman rantaian bekalan yang lain, pemaju harus mengamalkan amalan berikut:

  • Sahkan Ketulenan Pakej : Semak sejarah penerbit dan pautan repositori GitHub untuk memastikan kesahihan pakej.
  • Ketergantungan Audit Secara Berkala : Audit kebergantungan secara berkala dan pastikan bahawa ia adalah terkini dan bebas daripada kod hasad.
  • Kuatkuasakan Kawalan Capaian Ketat : Laksanakan mekanisme kawalan capaian yang ketat untuk melindungi kunci persendirian dan bukti kelayakan sensitif yang lain.

Selain itu, pembangun harus terus berwaspada untuk sambungan keluar luar biasa, terutamanya trafik SMTP, kerana penyerang mungkin menggunakan perkhidmatan yang sah seperti Gmail untuk pemerasan data. Ia juga penting untuk mengelak daripada mempercayai pakej semata-mata kerana ia telah wujud untuk masa yang lama tanpa dialih keluar, kerana ini boleh menutup aktiviti yang tidak selamat.

Trending

Paling banyak dilihat

Memuatkan...