โมดูล Go ที่เป็นอันตรายแพร่กระจายมัลแวร์ที่ล้างข้อมูลบนดิสก์ของ Linux
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบโมดูล Go ที่เป็นอันตราย 3 โมดูล ซึ่งใช้โค้ดที่ซ่อนไว้เพื่อดึงข้อมูลที่ไม่ปลอดภัย ซึ่งอาจสร้างความเสียหายให้กับระบบ Linux ได้อย่างถาวร โมดูลเหล่านี้ดูเหมือนจะถูกต้องตามกฎหมาย แต่ได้รับการออกแบบมาเพื่อเรียกใช้ข้อมูลระยะไกลที่ลบดิสก์หลักของระบบ ทำให้ไม่สามารถบูตได้
สารบัญ
ระบุแพ็คเกจ Go ที่ไม่ปลอดภัย
โมดูล Go ต่อไปนี้มีส่วนเกี่ยวข้อง:
github[.]com/truthfulpharm/prototransform
github[.]คอม/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
แพ็คเกจเหล่านี้ประกอบด้วยโค้ดที่สับสนอย่างมาก ซึ่งออกแบบมาเพื่อดาวน์โหลดและเรียกใช้เพย์โหลดเมื่อทำงานบนระบบ Linux
เพย์โหลดที่ทำลายล้างจะเขียนทับข้อมูลดิสก์ที่สำคัญ
โค้ดที่เสียหายจะตรวจหาระบบปฏิบัติการ Linux และหากตรวจพบ จะใช้ wget เพื่อดึงข้อมูลขั้นตอนถัดไปจากเซิร์ฟเวอร์ระยะไกล ข้อมูลนี้คือสคริปต์เชลล์ที่ทำลายล้างซึ่งเขียนทับดิสก์หลักของระบบ (/dev/sda) ด้วยเลขศูนย์ เป็นผลให้ระบบไม่สามารถบูตได้ และไม่มีเครื่องมือการกู้คืนข้อมูลหรือกระบวนการตรวจสอบทางนิติเวชใดที่จะกู้คืนข้อมูลที่สูญหายได้ เนื่องจากดิสก์ถูกทำลายอย่างถาวร วิธีนี้เน้นย้ำถึงความเสี่ยงอันรุนแรงที่เกิดจากการโจมตีห่วงโซ่อุปทาน ซึ่งโค้ดที่ถูกต้องตามกฎหมายสามารถสร้างความเสียหายอย่างร้ายแรงต่อเซิร์ฟเวอร์ Linux และสภาพแวดล้อมของนักพัฒนาได้
ภัยคุกคามที่เพิ่มขึ้นจากแพ็คเกจ npm ที่ฉ้อโกง
นอกจากการค้นพบโมดูล Go ที่ไม่ปลอดภัยแล้ว ยังพบแพ็คเกจ npm ที่เป็นอันตรายอีกหลายรายการด้วย แพ็คเกจเหล่านี้ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลที่ละเอียดอ่อน ซึ่งอาจรวมถึงวลีเมล็ดพันธุ์ที่ช่วยจำและคีย์สกุลเงินดิจิทัลส่วนตัว ซึ่งอาจนำไปสู่การขโมยสินทรัพย์ดิจิทัลของผู้ใช้
ระบุแพ็กเกจ npm ที่น่าสงสัย
แพ็กเกจ npm ต่อไปนี้ได้รับการทำเครื่องหมายว่าถูกดัดแปลง:
- การเข้ารหัส-เข้ารหัส-ts
- รีแอคเนทีฟสโครลเพจวิวเทสต์
- แบงกิ้งบันเดิลเซิร์ฟ
- ปุ่มโรงงานserv-paypal
- ทอมมี่บอยเทสต์ติ้ง
- การปฏิบัติตามข้อกำหนดอ่านเซิร์ฟเวอร์-paypal
- OAuth2-เพย์พาล
แพ็คเกจเหล่านี้ได้รับการออกแบบมาอย่างโหดร้ายเพื่อขโมยข้อมูลที่ละเอียดอ่อนซึ่งก่อให้เกิดภัยคุกคามอย่างมากต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้
แพ็คเกจ PyPI ที่เต็มไปด้วยมัลแวร์รวบรวมข้อมูลสกุลเงินดิจิทัล
นอกจากนี้ คลังข้อมูลดัชนีแพ็คเกจ Python (PyPI) ยังพบแพ็คเกจที่ถูกบุกรุกที่กำหนดเป้าหมายเป็นกระเป๋าเงินสกุลเงินดิจิทัลเพิ่มขึ้นอีกด้วย แพ็คเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 6,800 ครั้งนับตั้งแต่เปิดตัวในปี 2024 และได้รับการออกแบบมาเพื่อขโมยวลีเมล็ดพันธุ์ที่ช่วยจำ ทำให้การถือครองสกุลเงินดิจิทัลของผู้ใช้ตกอยู่ในความเสี่ยง
แพ็คเกจ PyPI ที่ไม่ปลอดภัยที่สำคัญ
แพ็คเกจหลักสองรายการที่มุ่งเป้าไปที่กระเป๋าเงินสกุลเงินดิจิทัล ได้แก่:
- เว็บ3เอ็กซ์
- เฮ้ วอลเล็ทบอท
แพ็คเกจเหล่านี้มีจุดมุ่งหมายเพื่อดูดวลีที่จำง่ายจากผู้ใช้ ซึ่งเป็นอันตรายต่อสินทรัพย์ดิจิทัลของพวกเขา นอกจากนี้ ยังพบแพ็คเกจ PyPI อีกเจ็ดชุดซึ่งถูกลบออกไปแล้ว โดยใช้เซิร์ฟเวอร์ SMTP และ WebSockets ของ Gmail เพื่อขโมยข้อมูลและสร้างการเข้าถึงจากระยะไกล
การขโมยข้อมูลและการดำเนินการคำสั่งระยะไกลโดยใช้ Gmail
แพ็คเกจ PyPI ที่ไม่ปลอดภัยใช้ข้อมูลรับรอง Gmail แบบฮาร์ดโค้ดเพื่อลงชื่อเข้าใช้เซิร์ฟเวอร์ SMTP ของ Gmail และส่งข้อความไปยังที่อยู่ Gmail อื่นเพื่อระบุว่าการโจมตีสำเร็จ หลังจากนั้น การเชื่อมต่อ WebSocket จะถูกสร้างขึ้น ซึ่งทำให้ผู้โจมตีสามารถติดต่อสื่อสารแบบสองทางกับระบบที่ถูกโจมตีได้
การใช้โดเมน Gmail (smtp.gmail.com) ทำให้การโจมตีเหล่านี้มีลักษณะลึกลับมากขึ้น เนื่องจากพร็อกซีขององค์กรและระบบการป้องกันปลายทางมีโอกาสน้อยลงที่จะทำเครื่องหมายว่าน่าสงสัย เนื่องจากความน่าเชื่อถือที่เชื่อมโยงกับบริการ Gmail
แพ็กเกจเด่น: cfc-bsb
แพ็คเกจ cfc-bsb มีความน่าสนใจเนื่องจากไม่มีฟังก์ชัน Gmail แต่ใช้ตรรกะ WebSocket เพื่ออำนวยความสะดวกในการเข้าถึงระยะไกล โดยหลีกเลี่ยงมาตรการตรวจจับแบบเดิมๆ
วิธีบรรเทาภัยคุกคามต่อห่วงโซ่อุปทาน
เพื่อป้องกันแพ็คเกจที่เป็นอันตรายเหล่านี้และภัยคุกคามต่อห่วงโซ่อุปทานอื่น ๆ นักพัฒนาควรใช้แนวทางปฏิบัติดังต่อไปนี้:
นอกจากนี้ นักพัฒนายังควรเฝ้าระวังการเชื่อมต่อขาออกที่ผิดปกติ โดยเฉพาะการรับส่งข้อมูลผ่าน SMTP เนื่องจากผู้โจมตีอาจใช้บริการที่ถูกกฎหมาย เช่น Gmail เพื่อขโมยข้อมูล นอกจากนี้ ยังจำเป็นต้องหลีกเลี่ยงการเชื่อถือแพ็คเกจเพียงเพราะว่ามีการใช้งานมาเป็นเวลานานโดยไม่ได้ลบออก เนื่องจากการกระทำดังกล่าวอาจปกปิดกิจกรรมที่ไม่ปลอดภัยได้
