Modulet keqdashëse Go përhapin programe keqdashëse Linux që fshijnë diskun
Studiuesit e sigurisë kibernetike kanë zbuluar së fundmi tre module të dëmshme Go që përdorin kod të turbullt për të marrë ngarkesa të pasigurta, të cilat mund të dëmtojnë në mënyrë të pakthyeshme sistemet Linux. Këto module duket se janë të ligjshme, por janë të dizajnuara për të ekzekutuar ngarkesa të largëta që fshijnë diskun kryesor të një sistemi, duke e bërë atë të pamundshëm për t'u nisur.
Tabela e Përmbajtjes
Paketa të Identifikuara të Pasigurta Go
Modulet e mëposhtme Go janë të përfshira:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Këto paketa përmbajnë kod shumë të turbullt, i cili është projektuar për të shkarkuar dhe ekzekutuar ngarkesa kur ekzekutohet në një sistem Linux.
Ngarkesat shkatërruese mbishkruajnë të dhënat kritike të diskut
Kodi i dëmtuar kontrollon për një sistem operativ Linux dhe, nëse zbulohet, përdor wget për të marrë një ngarkesë të fazës tjetër nga një server i largët. Kjo ngarkesë është një skript shkatërrues i shell-it që mbishkruan diskun kryesor të sistemit (/dev/sda) me zero. Si rezultat, sistemi bëhet i panisshëm dhe asnjë mjet rikuperimi të dhënash ose proces forenzik nuk mund të rikthejë informacionin e humbur, pasi disku shkatërrohet në mënyrë të pakthyeshme. Kjo metodë nxjerr në pah rreziqet ekstreme që paraqesin sulmet e zinxhirit të furnizimit, ku kodi legjitim mund të shkaktojë dëme katastrofike në serverat Linux dhe mjediset e zhvilluesve.
Kërcënim në rritje nga paketat mashtruese npm
Krahas zbulimit të moduleve Go të pasigurta, janë zbuluar edhe disa paketa të dëmshme npm. Këto paketa janë të dizajnuara për të mbledhur informacione të ndjeshme, të cilat mund të përfshijnë fraza mnemonike dhe çelësa privatë kriptomonedhash, të cilat mund të çojnë në vjedhjen e aseteve dixhitale të përdoruesve.
Paketa të dyshimta npm të identifikuara
Paketat e mëposhtme npm janë shënuar si të manipuluara:
- kripto-encrypt-ts
- testi i shikimit të faqes me lëvizje react-native
- shërbim bankar i paketës
- buttonfactoryserv-paypal
- testimi i djalit të vogël
- compliancereadserv-paypal
- oauth2-paypal
- shërbimi i platformës së pagesës dhe shërbimit të paypal-it
- userbridge-paypal
- Marrëdhënia e përdoruesit-paypal
Këto paketa janë hartuar në mënyrë të ligë për të nxjerrë informacione të ndjeshme, duke paraqitur një kërcënim masiv për privatësinë dhe sigurinë e përdoruesve.
Paketat PyPI të ngarkuara me programe keqdashëse mbledhin të dhëna për kriptomonedha
Depozita e Python Package Index (PyPI) ka parë gjithashtu rritjen e paketave të kompromentuara që synojnë portofolet e kriptomonedhave. Këto paketa janë shkarkuar mbi 6,800 herë që nga publikimi i tyre në vitin 2024 dhe janë të dizajnuara për të vjedhur fraza mnemonike fillestare, duke kompromentuar zotërimet e kriptomonedhave të përdoruesve.
Paketa PyPI të dukshme të pasigurta
Dy paketa kryesore që synojnë portofolet e kriptomonedhave përfshijnë:
- web3x
- këtuportofoletbot
Këto paketa synojnë të thithin frazat fillestare mnemonike nga përdoruesit, duke rrezikuar asetet e tyre dixhitale. Përveç kësaj, një grup tjetër prej shtatë paketash PyPI, të cilat tani janë hequr, u zbulua duke përdorur serverat SMTP dhe WebSockets të Gmail për të nxjerrë të dhëna dhe për të krijuar akses në distancë.
Ekfiltrimi i të dhënave të bazuara në Gmail dhe ekzekutimi i komandave në distancë
Paketat PyPI të pasigurta përdorin kredencialet e koduara fort të Gmail për t'u identifikuar në serverin SMTP të Gmail dhe për të dërguar një mesazh në një adresë tjetër të Gmail për të treguar një kompromentim të suksesshëm. Pas kësaj, krijohet një lidhje WebSocket, duke i lejuar sulmuesit të mbajë komunikim dypalësh me sistemin e kompromentuar.
Përdorimi i domeneve të Gmail (smtp.gmail.com) i bën këto sulme më të fshehta, pasi proxy-t e korporatave dhe sistemet e mbrojtjes së pikave të fundit kanë më pak gjasa t'i raportojnë ato si të dyshimta, duke pasur parasysh besimin që shoqërohet me shërbimet e Gmail.
Paketa e spikatur: cfc-bsb
Paketa cfc-bsb është e rëndësishme pasi nuk ofron funksionalitetin e Gmail, por përdor logjikën WebSocket për të lehtësuar aksesin në distancë, duke anashkaluar masat tradicionale të zbulimit.
Si të Zbutni Kërcënimet e Zinxhirit të Furnizimit
Për t'u mbrojtur nga këto paketa të dëmshme dhe kërcënime të tjera të zinxhirit të furnizimit, zhvilluesit duhet të miratojnë praktikat e mëposhtme:
- Verifikoni Autenticitetin e Paketës : Kontrolloni historikun e botuesit dhe lidhjet e repozitorit GitHub për të siguruar legjitimitetin e paketës.
- Auditoni Varësitë Rregullisht : Auditoni rregullisht varësitë dhe sigurohuni që ato janë të azhurnuara dhe të lira nga kodi keqdashës.
- Zbatoni Kontrolle të Rrepta të Qasjes : Zbatoni mekanizma të rreptë të kontrollit të qasjes për të mbrojtur çelësat privatë dhe kredencialet e tjera të ndjeshme.
Për më tepër, zhvilluesit duhet të mbeten vigjilentë për lidhje të pazakonta dalëse, veçanërisht trafikun SMTP, pasi sulmuesit mund të përdorin shërbime legjitime si Gmail për nxjerrjen e të dhënave. Është gjithashtu e rëndësishme të shmangni besimin në një paketë vetëm sepse ka ekzistuar për një kohë të gjatë pa u hequr, pasi kjo mund të maskojë aktivitete të pasigurta.
