Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Kwaadaardige Go-modules verspreiden schijfwissende...

Kwaadaardige Go-modules verspreiden schijfwissende Linux-malware

Tegen Mezo in Malware
Vertalen naar:

Cybersecurityonderzoekers hebben onlangs drie schadelijke Go-modules ontdekt die gebruikmaken van verhulde code om onveilige payloads op te halen, wat Linux-systemen onherstelbaar kan beschadigen. Deze modules lijken legitiem, maar zijn ontworpen om externe payloads uit te voeren die de primaire schijf van een systeem wissen, waardoor het systeem onopstartbaar wordt.

Geïdentificeerde onveilige Go-pakketten

De volgende Go-modules zijn hierbij betrokken:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Deze pakketten bevatten zeer verduisterde code, die zo is ontworpen dat ze payloads downloaden en uitvoeren wanneer ze op een Linux-systeem worden uitgevoerd.

Destructieve payloads overschrijven kritieke schijfgegevens

De beschadigde code controleert op een Linux-besturingssysteem en gebruikt, indien gedetecteerd, wget om een volgende fase-payload op te halen van een externe server. Deze payload is een destructief shellscript dat de primaire schijf van het systeem (/dev/sda) overschrijft met nullen. Hierdoor kan het systeem niet meer worden opgestart en kunnen geen datahersteltools of forensische processen de verloren informatie herstellen, omdat de schijf onherstelbaar is vernietigd. Deze methode benadrukt de extreme risico's van supply chain-aanvallen, waarbij legitieme code catastrofale schade kan aanrichten aan Linux-servers en ontwikkelomgevingen.

Groeiende dreiging van frauduleuze npm-pakketten

Naast de ontdekking van onveilige Go-modules zijn er ook meerdere schadelijke npm-pakketten ontdekt. Deze pakketten zijn ontworpen om gevoelige informatie te verzamelen, waaronder mnemonische seedphrases en privécryptocurrencysleutels, wat kan leiden tot diefstal van digitale activa van gebruikers.

Verdachte npm-pakketten geïdentificeerd

De volgende npm-pakketten zijn gemarkeerd als gemanipuleerd:

  • crypto-encrypt-ts
  • react-native-scrollpageviewtest
  • bankingbundleserv
  • buttonfactoryserv-paypal
  • tommyboytesting
  • nalevingreadserv-paypal
  • oauth2-paypal
  • betalingapiplatformservice-paypal
  • gebruikersbrug-paypal
  • Gebruikersrelatie-paypal

Deze pakketten zijn op kwaadaardige wijze ontworpen om gevoelige informatie te stelen, wat een grote bedreiging vormt voor de privacy en veiligheid van gebruikers.

PyPI-pakketten vol malware verzamelen cryptovalutagegevens

De Python Package Index (PyPI) repository heeft ook de opkomst gezien van gecompromitteerde pakketten die zich richten op cryptocurrency wallets. Deze pakketten zijn sinds hun release in 2024 meer dan 6800 keer gedownload en zijn ontworpen om mnemonische seedphrases te stelen en zo de cryptocurrency-tegoeden van gebruikers in gevaar te brengen.

Opvallende onveilige PyPI-pakketten

Twee belangrijke pakketten die gericht zijn op cryptocurrency-wallets zijn:

  • web3x
  • herewalletbot

Deze pakketten zijn erop gericht om geheugensteuntjes van gebruikers te stelen en zo hun digitale activa in gevaar te brengen. Daarnaast werd een andere set van zeven PyPI-pakketten ontdekt, die inmiddels zijn verwijderd en die de SMTP-servers en WebSockets van Gmail gebruikten om gegevens te exfiltreren en toegang op afstand te verkrijgen.

Gmail-gebaseerde gegevensexfiltratie en uitvoering van externe opdrachten

De onveilige PyPI-pakketten gebruiken hardgecodeerde Gmail-inloggegevens om in te loggen op de SMTP-server van Gmail en een bericht te sturen naar een ander Gmail-adres om een succesvolle hack aan te geven. Hierna wordt een WebSocket-verbinding tot stand gebracht, waardoor de aanvaller bidirectionele communicatie met het gecompromitteerde systeem kan onderhouden.

Door het gebruik van Gmail-domeinen (smtp.gmail.com) zijn deze aanvallen heimelijker, omdat bedrijfsproxy's en endpoint-beveiligingssystemen ze minder snel als verdacht markeren, gezien het vertrouwen dat aan Gmail-services wordt toegekend.

Opvallend pakket: cfc-bsb

Het pakket cfc-bsb is opmerkelijk omdat het geen Gmail-functionaliteit heeft, maar in plaats daarvan WebSocket-logica gebruikt om externe toegang te vergemakkelijken en traditionele detectiemaatregelen te omzeilen.

Hoe bedreigingen voor de toeleveringsketen te beperken

Om zich te beschermen tegen deze schadelijke pakketten en andere bedreigingen voor de toeleveringsketen, moeten ontwikkelaars de volgende maatregelen nemen:

  • Controleer de authenticiteit van het pakket : controleer de geschiedenis van de uitgever en de GitHub-repositorykoppelingen om de legitimiteit van het pakket te garanderen.
  • Controleer afhankelijkheden regelmatig : controleer afhankelijkheden regelmatig en zorg ervoor dat ze up-to-date zijn en geen schadelijke code bevatten.
  • Strikte toegangscontrole toepassen : implementeer strikte toegangscontrolemechanismen om persoonlijke sleutels en andere gevoelige referenties te beschermen.

Bovendien moeten ontwikkelaars waakzaam blijven voor ongebruikelijke uitgaande verbindingen, met name SMTP-verkeer, aangezien aanvallers legitieme services zoals Gmail kunnen gebruiken voor data-exfiltratie. Het is ook cruciaal om te voorkomen dat u een pakket vertrouwt alleen omdat het al lange tijd bestaat zonder te zijn verwijderd, aangezien dit onveilige activiteiten kan maskeren.

Trending

Meest bekeken

Bezig met laden...