Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malicious Go Modules Spread Disk-Wiping Linux Malware

Malicious Go Modules Spread Disk-Wiping Linux Malware

Por Mezo em Malware
Traduzir Para:

Os pesquisadores de segurança cibernética descobriram recentemente três módulos Go nocivos que utilizam código ofuscado para buscar payloads inseguros, o que pode danificar irreversivelmente os sistemas Linux. Esses módulos parecem legítimos, mas são projetados para executar payloads remotos que apagam o disco primário do sistema, tornando-o impossível de inicializar.

Pacotes Go Inseguros Identificados

Os seguintes módulos Go estão implicados:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Esses pacotes contêm código altamente ofuscado, projetado para baixar e executar payloads quando executado em um sistema Linux.

Cargas Destrutivas Substituem Dados Críticos do Disco

O código danificado verifica se há um sistema operacional Linux e, se detectado, usa o wget para buscar um payload de próximo estágio em um servidor remoto. Esse payload é um script de shell destrutivo que sobrescreve o disco primário do sistema (/dev/sda) com zeros. Como resultado, o sistema se torna ininicializável e nenhuma ferramenta de recuperação de dados ou processo forense consegue restaurar as informações perdidas, pois o disco é irreversivelmente destruído. Esse método destaca os riscos extremos representados por ataques à cadeia de suprimentos, nos quais código legítimo pode causar danos catastróficos a servidores Linux e ambientes de desenvolvedores.

A Ameaça Crescente dos Pacotes npm Fraudulentos

Além da descoberta de módulos Go inseguros, diversos pacotes npm nocivos também foram detectados. Esses pacotes são projetados para coletar informações confidenciais, que podem incluir frases-semente mnemônicas e chaves privadas de criptomoedas, o que pode levar ao roubo de ativos digitais dos usuários.

Pacotes npm suspeitos identificados

Os seguintes pacotes npm foram sinalizados como adulterados:

  • cripto-criptografar-ts
  • react-native-scrollpageviewtest
  • bankingbundleserv
  • buttonfactoryserv-paypal
  • tommyboytesting
  • conformidadereadserv-paypal
  • oauth2-paypal
  • serviço de plataforma de pagamento-paypal
  • userbridge-paypal
  • Relacionamento com o usuário-paypal

Esses pacotes são criados de forma cruel para extrair informações confidenciais, representando uma grande ameaça à privacidade e à segurança dos usuários.

Pacotes PyPI Carregados de Malware Coletam Dados de Cripto-Moedas

O repositório Python Package Index (PyPI) também registrou o aumento de pacotes comprometidos direcionados a carteiras de cripto-moedas. Esses pacotes foram baixados mais de 6.800 vezes desde seu lançamento em 2024 e são projetados para roubar frases-semente mnemônicas, comprometendo os ativos de cripto-moedas dos usuários.

Pacotes PyPI inseguros notáveis

Dois pacotes principais voltados para carteiras de cripto-moedas incluem:

  • web3x
  • aquiwalletbot

Esses pacotes visam extrair frases-semente mnemônicas dos usuários, colocando em risco seus ativos digitais. Além disso, outro conjunto de sete pacotes PyPI, agora removidos, foi descoberto usando servidores SMTP e WebSockets do Gmail para exfiltrar dados e estabelecer acesso remoto.

Exfiltração de Dados Baseada no Gmail e Execução Remota de Comandos

Os pacotes PyPI inseguros usam credenciais do Gmail codificadas para acessar o servidor SMTP do Gmail e enviar uma mensagem para outro endereço do Gmail para indicar o sucesso do ataque. Após isso, uma conexão WebSocket é estabelecida, permitindo que o invasor mantenha comunicação bidirecional com o sistema comprometido.

O uso de domínios do Gmail (smtp.gmail.com) torna esses ataques mais furtivos, pois os proxies corporativos e os sistemas de proteção de endpoint são menos propensos a sinalizá-los como suspeitos, dada a confiança associada aos serviços do Gmail.

Pacote de destaque: cfc-bsb

O pacote cfc-bsb é notável porque não apresenta a funcionalidade do Gmail, mas usa a lógica do WebSocket para facilitar o acesso remoto, ignorando as medidas de detecção tradicionais.

Como Mitigar Ameaças à Cadeia de Suprimentos

Para se proteger contra esses pacotes prejudiciais e outras ameaças à cadeia de suprimentos, os desenvolvedores devem adotar as seguintes práticas:

  • Verificar a autenticidade do pacote : Verifique o histórico do editor e os links do repositório GitHub para garantir a legitimidade do pacote.
  • Audite dependências regularmente : Audite dependências rotineiramente e garanta que elas estejam atualizadas e livres de código malicioso.
  • Aplicar controles de acesso rigorosos : Implemente mecanismos rigorosos de controle de acesso para proteger chaves privadas e outras credenciais confidenciais.

Além disso, os desenvolvedores devem permanecer atentos a conexões de saída incomuns, especialmente tráfego SMTP, pois invasores podem usar serviços legítimos como o Gmail para exfiltração de dados. Também é crucial evitar confiar em um pacote apenas porque ele existe há muito tempo sem ser removido, pois isso pode mascarar atividades inseguras.

Tendendo

Webheroes.store

Sem categoria, Sequestradores de Navegador, Sites desonestos
O Webheroes.store existe apenas para atuar como uma plataforma para táticas online. Os usuários são fortemente encorajados a fechar a página assim que chegarem nela. Além disso, encontrar o Webheroes.store em primeiro lugar é extremamente improvável que tenha sido intencional. Na grande maioria dos casos, os usuários são levados para esses destinos duvidosos como resultado de redirecionamentos...

Mais visto

Carregando...