Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Złośliwe moduły Go rozprzestrzeniają złośliwe...

Złośliwe moduły Go rozprzestrzeniają złośliwe oprogramowanie Linux czyszczące dysk

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Badacze cyberbezpieczeństwa niedawno odkryli trzy szkodliwe moduły Go, które wykorzystują zaciemniony kod do pobierania niebezpiecznych ładunków, które mogą nieodwracalnie uszkodzić systemy Linux. Te moduły wydają się być legalne, ale są zaprojektowane do wykonywania zdalnych ładunków, które czyszczą główny dysk systemu, czyniąc go niemożliwym do uruchomienia.

Zidentyfikowano niebezpieczne pakiety Go

Dotyczy to następujących modułów Go:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Pakiety te zawierają bardzo zaciemniony kod, który jest zaprojektowany tak, aby pobierać i wykonywać ładunki po uruchomieniu w systemie Linux.

Niszczące ładunki nadpisują krytyczne dane na dysku

Uszkodzony kod sprawdza system operacyjny Linux i, jeśli zostanie wykryty, używa wget do pobrania ładunku następnego etapu ze zdalnego serwera. Ten ładunek to destrukcyjny skrypt powłoki, który nadpisuje główny dysk systemu (/dev/sda) zerami. W rezultacie system staje się niemożliwy do uruchomienia, a żadne narzędzia do odzyskiwania danych ani procesy kryminalistyczne nie mogą przywrócić utraconych informacji, ponieważ dysk jest nieodwracalnie zniszczony. Ta metoda podkreśla ekstremalne ryzyko związane z atakami na łańcuch dostaw, w których legalny kod może spowodować katastrofalne uszkodzenia serwerów Linux i środowisk programistycznych.

Rosnące zagrożenie ze strony fałszywych pakietów npm

Oprócz odkrycia niebezpiecznych modułów Go, wykryto również wiele szkodliwych pakietów npm. Pakiety te są przeznaczone do zbierania poufnych informacji, które mogą obejmować frazy mnemoniczne i prywatne klucze kryptowalutowe, co może prowadzić do kradzieży cyfrowych aktywów użytkowników.

Zidentyfikowano podejrzane pakiety npm

Następujące pakiety npm zostały oznaczone jako naruszone:

  • krypto-szyfrowanie-ts
  • react-native-scrollpageviewtest
  • pakiet bankowyserw
  • buttonfactoryserv-paypal
  • tommyboytestowanie
  • zgodnośćreadserv-paypal
  • oauth2-paypal
  • usługaplatformypłatnościowej-paypal
  • użytkownikbridge-paypal
  • Relacje użytkownika-paypal

Tego typu pakiety są celowo tworzone w celu wykradania poufnych informacji, co stwarza poważne zagrożenie dla prywatności i bezpieczeństwa użytkowników.

Pakiety PyPI pełne złośliwego oprogramowania zbierają dane dotyczące kryptowalut

Repozytorium Python Package Index (PyPI) również odnotowało wzrost liczby zagrożonych pakietów atakujących portfele kryptowalut. Te pakiety zostały pobrane ponad 6800 razy od czasu ich wydania w 2024 r. i są zaprojektowane w celu kradzieży fraz źródłowych mnemonicznych, co zagraża zasobom kryptowalut użytkowników.

Znane niebezpieczne pakiety PyPI

Dwa najważniejsze pakiety przeznaczone dla portfeli kryptowalutowych obejmują:

  • web3x
  • tutajwalletbot

Te pakiety mają na celu wysysanie fraz mnemonicznych od użytkowników, narażając ich zasoby cyfrowe. Ponadto odkryto, że inny zestaw siedmiu pakietów PyPI, które zostały już usunięte, używa serwerów SMTP i WebSockets Gmaila do eksfiltracji danych i nawiązywania zdalnego dostępu.

Eksfiltracja danych oparta na Gmailu i zdalne wykonywanie poleceń

Niebezpieczne pakiety PyPI wykorzystują zakodowane na stałe dane uwierzytelniające Gmaila, aby zalogować się do serwera SMTP Gmaila i wysłać wiadomość na inny adres Gmaila, aby wskazać udane naruszenie. Następnie nawiązywane jest połączenie WebSocket, co pozwala atakującemu na utrzymanie dwukierunkowej komunikacji z naruszonym systemem.

Użycie domen Gmail (smtp.gmail.com) sprawia, że ataki te są bardziej ukryte, ponieważ korporacyjne serwery proxy i systemy ochrony punktów końcowych rzadziej oznaczają je jako podejrzane, biorąc pod uwagę zaufanie, jakim darzone są usługi Gmail.

Wyróżniający się pakiet: cfc-bsb

Pakiet cfc-bsb jest godny uwagi, ponieważ nie zawiera funkcji Gmaila, lecz zamiast tego wykorzystuje logikę WebSocket w celu ułatwienia zdalnego dostępu, omijając tradycyjne metody wykrywania.

Jak łagodzić zagrożenia dla łańcucha dostaw

Aby zapewnić sobie ochronę przed tymi szkodliwymi pakietami i innymi zagrożeniami dla łańcucha dostaw, programiści powinni stosować następujące praktyki:

  • Sprawdź autentyczność pakietu : sprawdź historię wydawcy i linki do repozytorium GitHub, aby upewnić się, że pakiet jest autentyczny.
  • Regularnie sprawdzaj zależności : Rutynowo sprawdzaj zależności i upewniaj się, że są aktualne i nie zawierają złośliwego kodu.
  • Wprowadź ścisłe kontrole dostępu : Wprowadź ścisłe mechanizmy kontroli dostępu, aby chronić klucze prywatne i inne poufne dane uwierzytelniające.

Ponadto programiści powinni zachować czujność w przypadku nietypowych połączeń wychodzących, w szczególności ruchu SMTP, ponieważ atakujący mogą używać legalnych usług, takich jak Gmail, do eksfiltracji danych. Ważne jest również, aby unikać ufania pakietowi wyłącznie dlatego, że istnieje od dłuższego czasu i nie został usunięty, ponieważ może to maskować niebezpieczną aktywność.

Popularne

Webheroes.store

Bez kategorii, Porywacze przeglądarek, Nieuczciwe strony internetowe
Webheroes.store istnieje wyłącznie jako platforma dla taktyk internetowych. Zachęcamy użytkowników do zamykania strony, gdy tylko na nią trafią. Co więcej, napotkanie Webheroes.store w pierwszej kolejności jest bardzo mało prawdopodobne, aby było celowe. W ogromnej większości przypadków użytkownicy są przenoszeni do takich podejrzanych miejsc w wyniku wymuszonych przekierowań spowodowanych...

DOGE Compensation dla ofiar oszustw na całym świecie...

Phishing, Spam
Zachowanie czujności jest ważniejsze niż kiedykolwiek. Cyberprzestępcy każdego dnia wymyślają nowe sposoby manipulowania niczego niepodejrzewającymi użytkownikami — często maskując taktyki jako legalne komunikaty. E-maile typu phishing są szczególnie niebezpieczne, ponieważ atakują zaufanie i ciekawość osoby, często używając oficjalnie brzmiącego języka i logo, aby wydawać się wiarygodnymi....

Najczęściej oglądane

Ładowanie...