Вредоносные модули Go распространяют вредоносное ПО Linux, стирающее диск
Исследователи кибербезопасности недавно обнаружили три вредоносных модуля Go, которые используют запутанный код для извлечения небезопасных полезных нагрузок, которые могут необратимо повредить системы Linux. Эти модули кажутся легитимными, но они предназначены для выполнения удаленных полезных нагрузок, которые стирают основной диск системы, делая ее незагружаемой.
Оглавление
Выявлены небезопасные пакеты Go
В проблему вовлечены следующие модули Go:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Эти пакеты содержат сильно запутанный код, разработанный для загрузки и выполнения полезных нагрузок при запуске в системе Linux.
Разрушительные вредоносные данные перезаписывают критические данные на диске
Поврежденный код проверяет наличие операционной системы Linux и, если обнаруживается, использует wget для извлечения полезной нагрузки следующего этапа с удаленного сервера. Эта полезная нагрузка представляет собой разрушительный скрипт оболочки, который перезаписывает основной диск системы (/dev/sda) нулями. В результате система становится незагружаемой, и никакие инструменты восстановления данных или криминалистические процессы не могут восстановить потерянную информацию, поскольку диск необратимо уничтожается. Этот метод подчеркивает экстремальные риски, связанные с атаками на цепочку поставок, когда легитимный код может нанести катастрофический ущерб серверам Linux и средам разработки.
Растущая угроза от мошеннических пакетов npm
Наряду с обнаружением небезопасных модулей Go, также были обнаружены многочисленные вредоносные пакеты npm. Эти пакеты предназначены для сбора конфиденциальной информации, которая может включать мнемонические фразы и закрытые ключи криптовалюты, что может привести к краже цифровых активов пользователей.
Обнаружены подозрительные пакеты npm
Следующие пакеты npm были помечены как поддельные:
- крипто-шифрование-ts
- реагировать-native-scrollpageviewtest
- банковский пакетсервис
- buttonfactoryserv-paypal
- tommyboyтестирование
- Compliancereadserv-Paypal
- oauth2-paypal
- оплатаapiplatformservice-paypal
- userbridge-paypal
- Userrelationship-paypal
Эти пакеты созданы с целью кражи конфиденциальной информации, что представляет серьезную угрозу конфиденциальности и безопасности пользователей.
Пакеты PyPI, содержащие вредоносное ПО, собирают данные о криптовалюте
Репозиторий Python Package Index (PyPI) также зафиксировал рост числа скомпрометированных пакетов, нацеленных на криптовалютные кошельки. Эти пакеты были загружены более 6800 раз с момента их выпуска в 2024 году и предназначены для кражи мнемонических фраз-семян, компрометирующих криптовалютные активы пользователей.
Известные небезопасные пакеты PyPI
Два ключевых пакета, нацеленных на криптовалютные кошельки, включают в себя:
- веб3х
- herewalletbot
Эти пакеты нацелены на то, чтобы выкачивать мнемонические фразы-источники у пользователей, подвергая риску их цифровые активы. Кроме того, был обнаружен еще один набор из семи пакетов PyPI, которые теперь удалены, использующих SMTP-серверы Gmail и WebSockets для извлечения данных и установления удаленного доступа.
Кража данных через Gmail и удаленное выполнение команд
Небезопасные пакеты PyPI используют жестко закодированные учетные данные Gmail для входа на SMTP-сервер Gmail и отправки сообщения на другой адрес Gmail, чтобы указать на успешную компрометацию. После этого устанавливается соединение WebSocket, что позволяет злоумышленнику поддерживать двунаправленную связь с скомпрометированной системой.
Использование доменов Gmail (smtp.gmail.com) делает эти атаки более скрытными, поскольку корпоративные прокси-серверы и системы защиты конечных точек с меньшей вероятностью пометят их как подозрительные, учитывая доверие, связанное с сервисами Gmail.
Выдающийся пакет: cfc-bsb
Пакет cfc-bsb примечателен тем, что он не поддерживает функциональность Gmail, а вместо этого использует логику WebSocket для облегчения удаленного доступа, обходя традиционные меры обнаружения.
Как снизить угрозы в цепочке поставок
Для защиты от этих вредоносных упаковок и других угроз цепочке поставок разработчикам следует принять следующие меры:
- Проверка подлинности пакета : проверьте историю издателя и ссылки на репозитории GitHub, чтобы убедиться в легитимности пакета.
- Регулярно проводите аудит зависимостей : регулярно проводите аудит зависимостей и проверяйте, что они актуальны и не содержат вредоносного кода.
- Обеспечьте строгий контроль доступа : внедрите строгие механизмы контроля доступа для защиты закрытых ключей и других конфиденциальных учетных данных.
Кроме того, разработчики должны быть бдительными в отношении необычных исходящих соединений, особенно трафика SMTP, поскольку злоумышленники могут использовать легитимные сервисы, такие как Gmail, для эксфильтрации данных. Также крайне важно избегать доверия к пакету только потому, что он существует в течение длительного времени без удаления, поскольку это может скрыть небезопасную активность.
