Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Ondsinnede Go-moduler sprer diskslettende Linux-skadevare

Ondsinnede Go-moduler sprer diskslettende Linux-skadevare

Med Mezo i Skadelig programvare
Oversett til:

Forskere innen nettsikkerhet har nylig avdekket tre skadelige Go-moduler som bruker obfuskert kode for å hente utrygge nyttelaster, noe som kan skade Linux-systemer permanent. Disse modulene ser ut til å være legitime, men er designet for å kjøre eksterne nyttelaster som sletter et systems primære disk, slik at det ikke kan startes opp.

Identifiserte usikre Go-pakker

Følgende Go-moduler er involvert:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Disse pakkene inneholder svært tilslørt kode, som er konstruert for å laste ned og kjøre nyttelaster når de kjøres på et Linux-system.

Destruktive nyttelaster overskriver kritiske diskdata

Den skadede koden sjekker etter et Linux-operativsystem, og hvis den oppdages, bruker den wget til å hente en nyttelast for neste trinn fra en ekstern server. Denne nyttelasten er et destruktivt skallskript som overskriver systemets primære disk (/dev/sda) med nuller. Som et resultat blir systemet uoppstartbart, og ingen verktøy for datagjenoppretting eller rettsmedisinske prosesser kan gjenopprette den tapte informasjonen, ettersom disken blir irreversibelt ødelagt. Denne metoden fremhever de ekstreme risikoene som forsyningskjedeangrep utgjør, der legitim kode kan forårsake katastrofal skade på Linux-servere og utviklermiljøer.

Voksende trussel fra falske npm-pakker

I tillegg til oppdagelsen av usikre Go-moduler, har det også blitt oppdaget flere skadelige npm-pakker. Disse pakkene er utviklet for å samle sensitiv informasjon, som kan inkludere mnemoniske såfraser og private kryptovalutannøkler, noe som kan føre til tyveri av brukernes digitale eiendeler.

Mistenkelige npm-pakker identifisert

Følgende npm-pakker har blitt flagget som manipulert:

  • krypto-krypter-ts
  • react-native-scrollpageviewtest
  • bankpakkeservice
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • betalingsplattformtjeneste-paypal
  • userbridge-paypal
  • Brukerforhold-paypal

Disse pakkene er ondsinnet laget for å stramme inn sensitiv informasjon, og utgjør en massiv trussel mot brukernes personvern og sikkerhet.

Skanvarebelastede PyPI-pakker høster kryptovalutadata

Python Package Index (PyPI)-depotet har også sett en økning i antall kompromitterte pakker som er rettet mot kryptovaluta-lommebøker. Disse pakkene har blitt lastet ned over 6800 ganger siden lanseringen i 2024, og er designet for å stjele mnemoniske såfraser, noe som kompromitterer brukernes kryptovalutabeholdninger.

Merkbare usikre PyPI-pakker

To nøkkelpakker rettet mot kryptovaluta-lommebøker inkluderer:

  • web3x
  • herewalletbot

Disse pakkene har som mål å tappe mnemoniske frøfraser fra brukere, noe som setter deres digitale eiendeler i fare. I tillegg ble et annet sett med sju PyPI-pakker, som nå er fjernet, oppdaget ved å bruke Gmails SMTP-servere og WebSockets til å eksfiltrere data og etablere ekstern tilgang.

Gmail-basert datautvinning og ekstern kommandokjøring

De usikre PyPI-pakkene bruker hardkodet Gmail-legitimasjon for å logge på Gmails SMTP-server og sende en melding til en annen Gmail-adresse for å indikere et vellykket kompromittering. Etter dette opprettes en WebSocket-tilkobling, slik at angriperen kan opprettholde toveiskommunikasjon med det kompromitterte systemet.

Bruken av Gmail-domener (smtp.gmail.com) gjør disse angrepene mer snikende, ettersom bedriftsproxyer og endepunktbeskyttelsessystemer har mindre sannsynlighet for å flagge dem som mistenkelige, gitt tilliten som er knyttet til Gmail-tjenester.

Enestående pakke: cfc-bsb

Pakken cfc-bsb er bemerkelsesverdig siden den ikke har Gmail-funksjonalitet, men i stedet bruker WebSocket-logikk for å legge til rette for ekstern tilgang, og omgår tradisjonelle deteksjonstiltak.

Slik reduserer du trusler i forsyningskjeden

For å beskytte mot disse skadelige pakkene og andre trusler i forsyningskjeden, bør utviklere ta i bruk følgende praksiser:

  • Bekreft pakkeautentisitet : Sjekk utgiverens historikk og lenker til GitHub-repositoriet for å sikre pakkens legitimitet.
  • Revider avhengigheter regelmessig : Revider avhengigheter rutinemessig og sørg for at de er oppdaterte og fri for skadelig kode.
  • Håndhev strenge tilgangskontroller : Implementer strenge tilgangskontrollmekanismer for å beskytte private nøkler og annen sensitiv legitimasjon.

I tillegg bør utviklere være årvåkne for uvanlige utgående tilkoblinger, spesielt SMTP-trafikk, ettersom angripere kan bruke legitime tjenester som Gmail til datautvinning. Det er også viktig å unngå å stole på en pakke utelukkende fordi den har eksistert lenge uten å bli fjernet, da dette kan maskere usikker aktivitet.

Trender

Mest sett

Laster inn...