Злонамерни Go модули шире малвер за брисање диска на Linux-у

Истраживачи сајбер безбедности су недавно открили три штетна Go модула који користе замагљени код за преузимање небезбедних корисних података, што може неповратно оштетити Linux системе. Ови модули делују легитимно, али су дизајнирани да извршавају удаљене корисне податке који бришу примарни диск система, чинећи га немогућим за покретање.

Идентификовани небезбедни Go пакети

Следећи Go модули су имплицирани:

гитхаб[.]цом/трутфулфарм/прототрансформ

гитхаб[.]цом/бланклоггиа/го-мцп

гитхаб[.]цом/стеелпоор/тлспрокси

Ови пакети садрже веома замагљен код, који је пројектован за преузимање и извршавање корисних оптерећења када се покреће на Линук систему.

Деструктивни корисни терет преписује критичне податке на диску

Оштећени код проверава да ли постоји Линукс оперативни систем и, ако се открије, користи wget да преузме следећи корисни терет са удаљеног сервера. Овај корисни терет је деструктивна шел скрипта која преписује примарни диск система (/dev/sda) нулама. Као резултат тога, систем постаје немогућ за покретање и ниједан алат за опоравак података или форензички процес не може да врати изгубљене информације, јер је диск неповратно уништен. Ова метода истиче екстремне ризике које представљају напади на ланац снабдевања, где легитиман код може да изазове катастрофалну штету на Линукс серверима и програмерским окружењима.

Растућа претња од преварних npm пакета

Уз откривање небезбедних Go модула, откривено је и више штетних npm пакета. Ови пакети су дизајнирани за прикупљање осетљивих информација, које могу укључивати мнемоничке фразе и приватне криптовалутне кључеве, што може довести до крађе дигиталне имовине корисника.

Идентификовани сумњиви npm пакети

Следећи npm пакети су означени као неовлашћено измењени:

• крипто-шифровање-тс
• тест прегледа странице за померање react-native
• банкарски пакет услуга
• buttonfactoryserv-paypal
• Томи БојТестинг
• compliancereadserv-paypal
• oauth2-paypal
• плаћањеapiplatformservice-paypal

• userbridge-paypal

• Однос са корисницима - PayPal

Ови пакети су злобно направљени да би украли осетљиве информације, представљајући огромну претњу приватности и безбедности корисника.

PyPI пакети оптерећени злонамерним софтвером прикупљају податке о криптовалутама

Репозиторијум Python Package Index (PyPI) је такође забележио пораст компромитованих пакета усмерених на криптовалуте новчанике. Ови пакети су преузети преко 6.800 пута од њиховог објављивања 2024. године и дизајнирани су да украду мнемоничке фразе, угрожавајући криптовалуте које корисници имају.

Значајни небезбедни PyPI пакети

Два кључна пакета усмерена на криптовалуте новчанике укључују:

• web3x
• овденовлачебот

Ови пакети имају за циљ да преузму мнемоничке фразе од корисника, угрожавајући њихову дигиталну имовину. Поред тога, откривен је још један сет од седам PyPI пакета, који су сада уклоњени, користећи Gmail-ове SMTP сервере и WebSockets за крађу података и успостављање удаљеног приступа.

Извлачење података из Gmail-а и даљинско извршавање команди

Небезбедни PyPI пакети користе чврсто кодиране Gmail акредитиве за пријављивање на Gmail-ов SMTP сервер и слање поруке на другу Gmail адресу како би се назначила успешна компромитација. Након тога, успоставља се WebSocket веза, што омогућава нападачу да одржи двосмерну комуникацију са компромитованим системом.

Коришћење Gmail домена (smtp.gmail.com) чини ове нападе прикривенијим, јер је мање вероватно да ће их корпоративни проксији и системи за заштиту крајњих тачака означити као сумњиве, с обзиром на поверење повезано са Gmail услугама.

Изузетан пакет: cfc-bsb

Пакет cfc-bsb је вредан пажње јер не садржи Gmail функционалност, већ користи WebSocket логику за олакшавање удаљеног приступа, заобилазећи традиционалне мере детекције.

Како ублажити претње ланцу снабдевања

Да би се заштитили од ових штетних пакета и других претњи по ланац снабдевања, програмери би требало да усвоје следеће праксе:

• Провера аутентичности пакета : Проверите историју издавача и линкове ка GitHub репозиторијуму да бисте осигурали легитимност пакета.

• Редовно проверавајте зависности : Рутински проверавајте зависности и уверите се да су ажуриране и да не садрже злонамерни код.

• Спровести строге контроле приступа : Имплементирајте механизме строге контроле приступа како бисте заштитили приватне кључеве и друге осетљиве акредитиве.

Поред тога, програмери би требало да буду опрезни због необичних одлазних конекција, посебно SMTP саобраћаја, јер нападачи могу користити легитимне сервисе попут Gmail-а за крађу података. Такође је кључно избегавати поверење у пакет само зато што постоји већ дуго времена, а да није уклоњен, јер би то могло да прикрије небезбедне активности.