Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Skadliga Go-moduler sprider diskrensande Linux-skadlig...

Skadliga Go-moduler sprider diskrensande Linux-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:

Cybersäkerhetsforskare har nyligen upptäckt tre skadliga Go-moduler som använder obfuskerad kod för att hämta osäkra nyttolaster, vilket kan skada Linux-system permanent. Dessa moduler verkar vara legitima men är utformade för att köra fjärrnyttolaster som raderar ett systems primära hårddisk, vilket gör den ostartbar.

Identifierade osäkra Go-paket

Följande Go-moduler är inblandade:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Dessa paket innehåller mycket obfuskerad kod, som är konstruerad för att ladda ner och köra nyttolaster när den körs på ett Linux-system.

Destruktiva nyttolaster skriver över kritiska diskdata

Den skadade koden söker efter ett Linux-operativsystem och, om den upptäcks, använder wget för att hämta en nyttolast för nästa steg från en fjärrserver. Denna nyttolast är ett destruktivt skalskript som skriver över systemets primära disk (/dev/sda) med nollor. Som ett resultat blir systemet ostartbart, och inga dataåterställningsverktyg eller forensiska processer kan återställa den förlorade informationen, eftersom disken förstörs oåterkalleligt. Denna metod belyser de extrema riskerna med attacker i leveranskedjan, där legitim kod kan orsaka katastrofala skador på Linux-servrar och utvecklarmiljöer.

Växande hot från bedrägliga npm-paket

Vid sidan av upptäckten av osäkra Go-moduler har även flera skadliga npm-paket upptäckts. Dessa paket är utformade för att samla in känslig information, vilket kan inkludera mnemoniska seedfraser och privata kryptovalutannycklar, vilket kan leda till stöld av användarnas digitala tillgångar.

Misstänkta npm-paket identifierade

Följande npm-paket har flaggats som manipulerade:

  • krypto-kryptera-ts
  • react-native-scrollpageviewtest
  • bankpaketserv
  • buttonfactoryserv-paypal
  • tommyboytestning
  • efterlevnadslässerv-paypal
  • oauth2-paypal
  • betalningsapiplattformtjänst-paypal
  • userbridge-paypal
  • Användarrelation-paypal

Dessa paket är ondskefullt utformade för att stjäla känslig information, vilket utgör ett massivt hot mot användarnas integritet och säkerhet.

Skadlig programvara-laddade PyPI-paket samlar in kryptovalutadata

Python Package Index (PyPI)-förvaret har också sett en ökning av komprometterade paket som riktar sig mot kryptovalutaplånböcker. Dessa paket har laddats ner över 6 800 gånger sedan de släpptes 2024 och är utformade för att stjäla mnemoniska fröfraser, vilket äventyrar användarnas kryptovalutainnehav.

Anmärkningsvärda osäkra PyPI-paket

Två viktiga paket riktade mot kryptovalutaplånböcker inkluderar:

  • web3x
  • herewalletbot

Dessa paket syftar till att suga ut mnemoniska fröfraser från användare, vilket äventyrar deras digitala tillgångar. Dessutom upptäcktes ytterligare sju PyPI-paket, som nu har tagits bort, med hjälp av Gmails SMTP-servrar och WebSockets för att stjäla data och upprätta fjärråtkomst.

Gmail-baserad dataexfiltrering och fjärrkörning av kommandon

De osäkra PyPI-paketen använder hårdkodade Gmail-inloggningsuppgifter för att logga in på Gmails SMTP-server och skicka ett meddelande till en annan Gmail-adress för att indikera en lyckad intrångsattack. Efter detta upprättas en WebSocket-anslutning, vilket gör det möjligt för angriparen att upprätthålla dubbelriktad kommunikation med det komprometterade systemet.

Användningen av Gmail-domäner (smtp.gmail.com) gör dessa attacker mer smygande, eftersom företagsproxyservrar och endpoint-skyddssystem är mindre benägna att flagga dem som misstänkta, med tanke på det förtroende som är förknippat med Gmail-tjänster.

Utmärkt paket: cfc-bsb

Paketet cfc-bsb är anmärkningsvärt eftersom det inte har Gmail-funktionalitet utan istället använder WebSocket-logik för att underlätta fjärråtkomst och kringgå traditionella detekteringsåtgärder.

Hur man minskar hot i leveranskedjan

För att skydda sig mot dessa skadliga paket och andra hot mot leveranskedjan bör utvecklare anta följande metoder:

  • Verifiera paketets äkthet : Kontrollera utgivarens historik och länkar till GitHub-arkivet för att säkerställa paketets legitimitet.
  • Granska beroenden regelbundet : Granska regelbundet beroenden och se till att de är uppdaterade och fria från skadlig kod.
  • Tillämpa strikta åtkomstkontroller : Implementera strikta åtkomstkontrollmekanismer för att skydda privata nycklar och andra känsliga inloggningsuppgifter.

Dessutom bör utvecklare vara uppmärksamma på ovanliga utgående anslutningar, särskilt SMTP-trafik, eftersom angripare kan använda legitima tjänster som Gmail för dataexfiltrering. Det är också viktigt att undvika att lita på ett paket enbart för att det har funnits länge utan att tas bort, eftersom detta kan maskera osäker aktivitet.

Trendigt

Mest sedda

Läser in...