Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivé moduly Go šíria malvér na vymazanie disku v...

Škodlivé moduly Go šíria malvér na vymazanie disku v systéme Linux

Do roku Mezo v roku Malvér
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti nedávno odhalili tri škodlivé moduly Go, ktoré využívajú zahmlievaniu kódu na načítanie nebezpečných dát, čo môže nenávratne poškodiť systémy Linux. Tieto moduly sa zdajú byť legitímne, ale sú navrhnuté tak, aby spúšťali vzdialené dáta, ktoré vymažú primárny disk systému, čím ho znemožnia spustiť.

Identifikované nebezpečné balíky Go

Ide o nasledujúce moduly Go:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Tieto balíky obsahujú vysoko zahalený kód, ktorý je navrhnutý tak, aby sťahoval a spúšťal užitočné zaťaženia pri spustení v systéme Linux.

Deštruktívne užitočné zaťaženia prepisujú kritické dáta na disku

Poškodený kód kontroluje prítomnosť operačného systému Linux a v prípade zistenia použije nástroj wget na načítanie ďalšieho dátového dáta zo vzdialeného servera. Toto dátové dáta sú deštruktívne skripty, ktoré prepíšu primárny disk systému (/dev/sda) nulami. V dôsledku toho sa systém stane nespustiteľným a žiadne nástroje na obnovu dát ani forenzné procesy nedokážu obnoviť stratené informácie, pretože disk je nenávratne zničený. Táto metóda zdôrazňuje extrémne riziká, ktoré predstavujú útoky na dodávateľský reťazec, kde legitímny kód môže spôsobiť katastrofické škody na serveroch Linux a vývojárskych prostrediach.

Rastúca hrozba z podvodných npm balíčkov

Popri objavení nebezpečných modulov Go bolo zistených aj viacero škodlivých npm balíkov. Tieto balíky sú navrhnuté tak, aby zhromažďovali citlivé informácie, ktoré môžu zahŕňať mnemotechnické frázy a súkromné kryptomenové kľúče, čo môže viesť ku krádeži digitálnych aktív používateľov.

Identifikované podozrivé npm balíky

Nasledujúce balíky npm boli označené ako upravené:

  • krypto-šifrovanie-ts
  • test zobrazenia stránky React Native ScrollPage
  • bankový balík služieb
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • platobná platforma API – služba PayPal
  • userbridge-paypal
  • Vzťah medzi používateľmi a PayPal

Tieto balíky sú zákerne vytvorené tak, aby odhalili citlivé informácie, čo predstavuje obrovskú hrozbu pre súkromie a bezpečnosť používateľov.

Balíky PyPI naplnené malvérom zhromažďujú dáta o kryptomenách

Repozitár Python Package Index (PyPI) tiež zaznamenal nárast kompromitovaných balíkov zameraných na kryptomenové peňaženky. Tieto balíky boli od ich vydania v roku 2024 stiahnuté viac ako 6 800-krát a sú navrhnuté tak, aby ukradli mnemotechnické frázové pomôcky, čím ohrozili kryptomenové úložiská používateľov.

Pozoruhodné nebezpečné balíky PyPI

Dva kľúčové balíčky zamerané na kryptomenové peňaženky zahŕňajú:

  • web3x
  • herewalletbot

Tieto balíky sa zameriavajú na odčerpávanie mnemotechnických fráz od používateľov, čím ohrozujú ich digitálne aktíva. Okrem toho bola objavená ďalšia sada siedmich balíkov PyPI, ktoré už boli odstránené, a ktoré používajú SMTP servery a WebSockety služby Gmail na odcudzenie údajov a nadviazanie vzdialeného prístupu.

Exfiltrácia údajov z Gmailu a vykonávanie vzdialených príkazov

Nebezpečné balíky PyPI používajú pevne zakódované prihlasovacie údaje Gmailu na prihlásenie na SMTP server Gmailu a odoslanie správy na inú adresu Gmailu, ktorá signalizuje úspešné narušenie bezpečnosti. Následne sa vytvorí pripojenie WebSocket, ktoré útočníkovi umožňuje udržiavať obojsmernú komunikáciu s napadnutým systémom.

Používanie domén Gmail (smtp.gmail.com) robí tieto útoky nenápadnejšími, pretože firemné proxy a systémy ochrany koncových bodov ich s menšou pravdepodobnosťou označia ako podozrivé vzhľadom na dôveru spojenú so službami Gmail.

Vynikajúci balík: cfc-bsb

Balík cfc-bsb je pozoruhodný, pretože neobsahuje funkcie Gmailu, ale namiesto toho používa logiku WebSocket na uľahčenie vzdialeného prístupu, čím obchádza tradičné detekčné opatrenia.

Ako zmierniť hrozby pre dodávateľský reťazec

Na ochranu pred týmito škodlivými balíkmi a inými hrozbami pre dodávateľský reťazec by vývojári mali prijať nasledujúce postupy:

  • Overenie pravosti balíka : Skontrolujte históriu vydavateľa a odkazy na repozitár GitHub, aby ste sa uistili o pravosti balíka.
  • Pravidelne auditujte závislosti : Pravidelne auditujte závislosti a zabezpečte, aby boli aktuálne a neobsahovali škodlivý kód.
  • Vynucovanie prísnych kontrol prístupu : Implementujte mechanizmy prísnej kontroly prístupu na ochranu súkromných kľúčov a iných citlivých prihlasovacích údajov.

Vývojári by si mali navyše dávať pozor na nezvyčajné odchádzajúce pripojenia, najmä na prevádzku SMTP, pretože útočníci môžu na odcudzenie údajov použiť legitímne služby, ako je Gmail. Je tiež dôležité nedôverovať balíku len preto, že existuje už dlhší čas bez toho, aby bol odstránený, pretože by to mohlo maskovať nebezpečnú aktivitu.

Trendy

Webheroes.store

Nezaradené do kategórie, Únoscovia prehliadača, Nečestné webové stránky
Webheroes.store existuje len preto, aby fungoval ako platforma pre online taktiky. Používateľom sa dôrazne odporúča zatvoriť stránku hneď, ako sa na ňu dostanú. Okrem toho je mimoriadne nepravdepodobné, že by to bolo úmyselné stretnutie s Webheroes.store na prvom mieste. V drvivej väčšine prípadov sa používatelia dostanú do takýchto pochybných destinácií v dôsledku nútených presmerovaní...

Odškodnenie DOGE obetiam podvodov na celom svete...

Phishing, Spam
Zostať v strehu je dôležitejšie ako kedykoľvek predtým. Kyberzločinci každý deň vymýšľajú nové spôsoby, ako manipulovať s nič netušiacimi používateľmi – často maskovaním taktiky za legitímnu komunikáciu. E-maily s podvodným phishingom sú obzvlášť nebezpečné, pretože sa zameriavajú na dôveru a zvedavosť osoby, pričom často používajú úradne znejúci jazyk a logá, aby pôsobili dôveryhodne. Jedna z...

Najviac videné

Načítava...