Modulele Go rău intenționate răspândesc programe malware Linux care șterg discul
Cercetătorii în domeniul securității cibernetice au descoperit recent trei module Go dăunătoare care utilizează cod ofuscat pentru a prelua sarcini nesigure, ceea ce poate deteriora ireversibil sistemele Linux. Aceste module par a fi legitime, dar sunt concepute pentru a executa la distanță sarcini care șterg discul principal al unui sistem, făcându-l imposibil de bootat.
Cuprins
Pachete de transport nesigure identificate
Următoarele module Go sunt implicate:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Aceste pachete conțin cod extrem de ofuscat, conceput pentru a descărca și executa sarcini utile atunci când rulează pe un sistem Linux.
Sarcinile utile distructive suprascriu datele critice de pe disc
Codul deteriorat verifică dacă există un sistem de operare Linux și, dacă este detectat, folosește wget pentru a prelua o sarcină utilă de nivel următor de pe un server la distanță. Această sarcină utilă este un script shell distructiv care suprascrie discul principal al sistemului (/dev/sda) cu zerouri. Drept urmare, sistemul devine imposibil de bootat și niciun instrument de recuperare a datelor sau procese criminalistice nu poate restaura informațiile pierdute, deoarece discul este distrus ireversibil. Această metodă evidențiază riscurile extreme prezentate de atacurile asupra lanțului de aprovizionare, unde codul legitim poate provoca daune catastrofale serverelor Linux și mediilor de dezvoltare.
Amenințarea tot mai mare din partea pachetelor npm frauduloase
Pe lângă descoperirea unor module Go nesigure, au fost detectate și mai multe pachete npm dăunătoare. Aceste pachete sunt concepute pentru a colecta informații sensibile, care pot include fraze mnemonice de tip „seed” și chei private de criptomonedă, ceea ce poate duce la furtul activelor digitale ale utilizatorilor.
Pachete npm suspecte identificate
Următoarele pachete npm au fost marcate ca fiind modificate:
- cripto-criptare-ts
- react-native-scrollpageviewtest
- bankingbundleserv
- buttonfactoryserv-paypal
- tommyboytesting
- conformitate readserv-paypal
- oauth2-paypal
- platforma API de plată - serviciu paypal
- userbridge-paypal
- Relație utilizator-paypal
Aceste pachete sunt concepute cu viclenie pentru a exfiltra informații sensibile, reprezentând o amenințare masivă la adresa confidențialității și securității utilizatorilor.
Pachetele PyPI încărcate cu programe malware colectează date despre criptomonede
Depozitul Python Package Index (PyPI) a înregistrat, de asemenea, o creștere a numărului de pachete compromise care vizează portofelele de criptomonede. Aceste pachete au fost descărcate de peste 6.800 de ori de la lansarea lor în 2024 și sunt concepute pentru a fura fraze mnemonice de tip „seed”, compromițând deținerile de criptomonede ale utilizatorilor.
Pachete PyPI nesigure notabile
Două pachete cheie care vizează portofelele de criptomonede includ:
- web3x
- herewalletbot
Aceste pachete au ca scop extragerea de fraze mnemonice de la utilizatori, punând în pericol activele lor digitale. În plus, un alt set de șapte pachete PyPI, care au fost acum eliminate, a fost descoperit folosind serverele SMTP și WebSocket-urile Gmail pentru a exfiltra date și a stabili acces la distanță.
Exfiltrare de date bazată pe Gmail și executare de comenzi la distanță
Pachetele PyPI nesigure folosesc acreditări Gmail codificate fix pentru a se conecta la serverul SMTP al Gmail și a trimite un mesaj către o altă adresă Gmail pentru a indica o compromitere reușită. După aceasta, se stabilește o conexiune WebSocket, permițând atacatorului să mențină o comunicare bidirecțională cu sistemul compromis.
Utilizarea domeniilor Gmail (smtp.gmail.com) face ca aceste atacuri să fie mai discrete, deoarece proxy-urile corporative și sistemele de protecție a endpoint-urilor sunt mai puțin susceptibile să le semnaleze ca suspecte, având în vedere încrederea asociată serviciilor Gmail.
Pachet remarcabil: cfc-bsb
Pachetul cfc-bsb este demn de remarcat deoarece nu dispune de funcționalitate Gmail, ci folosește logica WebSocket pentru a facilita accesul la distanță, ocolind măsurile tradiționale de detectare.
Cum să atenuezi amenințările la adresa lanțului de aprovizionare
Pentru a se proteja împotriva acestor pachete dăunătoare și a altor amenințări la adresa lanțului de aprovizionare, dezvoltatorii ar trebui să adopte următoarele practici:
- Verificați autenticitatea pachetului : Verificați istoricul editorului și linkurile către depozitul GitHub pentru a asigura legitimitatea pachetului.
- Auditați dependențele în mod regulat : Auditați în mod regulat dependențele și asigurați-vă că acestea sunt actualizate și nu conțin cod rău intenționat.
- Aplicarea unor controale stricte ale accesului : Implementați mecanisme stricte de control al accesului pentru a proteja cheile private și alte acreditări sensibile.
În plus, dezvoltatorii ar trebui să rămână vigilenți în ceea ce privește conexiunile de ieșire neobișnuite, în special traficul SMTP, deoarece atacatorii pot utiliza servicii legitime precum Gmail pentru exfiltrarea datelor. De asemenea, este esențial să evitați să acordați încredere unui pachet doar pentru că acesta a existat mult timp fără a fi eliminat, deoarece acest lucru ar putea masca o activitate nesigură.
