Multi-License Discount Quote
Banta sa Database Malware Ang mga Nakakahamak na Go Module ay nagkakalat ng...

Ang mga Nakakahamak na Go Module ay nagkakalat ng Disk-Wiping Linux Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:

Natuklasan kamakailan ng mga mananaliksik ng cybersecurity ang tatlong mapaminsalang Go module na gumagamit ng na-obfuscate na code para kumuha ng mga hindi ligtas na payload, na maaaring makapinsala sa mga Linux system nang hindi na mababawi. Lumilitaw na lehitimo ang mga module na ito ngunit idinisenyo upang magsagawa ng mga malalayong payload na nagpupunas sa pangunahing disk ng isang system, na nagiging dahilan upang hindi ito ma-boot.

Natukoy na Mga Hindi Ligtas na Go Package

Ang mga sumusunod na module ng Go ay may kinalaman:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Ang mga package na ito ay naglalaman ng napaka-obfuscated na code, na ini-engineered upang mag-download at magsagawa ng mga payload kapag tumatakbo sa isang Linux system.

Ino-overwrite ng Mga Mapanirang Payload ang Kritikal na Data ng Disk

Ang nasirang code ay sumusuri para sa isang Linux operating system at, kung matukoy, ay gumagamit ng wget upang kumuha ng susunod na yugto ng payload mula sa isang malayong server. Ang payload na ito ay isang mapanirang shell script na nag-o-overwrite sa pangunahing disk (/dev/sda) ng system na may mga zero. Bilang resulta, nagiging unbootable ang system, at walang mga tool sa pagbawi ng data o mga proseso ng forensic ang makapagpapanumbalik ng nawalang impormasyon, dahil ang disk ay hindi maibabalik na nawasak. Itinatampok ng paraang ito ang matinding panganib na dulot ng mga pag-atake ng supply-chain, kung saan ang lehitimong code ay maaaring magdulot ng malaking pinsala sa mga server ng Linux at mga kapaligiran ng developer.

Lumalagong Banta mula sa Mga Mapanlinlang na npm Package

Kasabay ng pagtuklas ng mga hindi ligtas na Go module, marami ring mapaminsalang npm package ang na-detect. Idinisenyo ang mga package na ito para mag-ani ng sensitibong impormasyon, na maaaring may kasamang mnemonic seed phrase at pribadong cryptocurrency key, na maaaring humantong sa pagnanakaw ng mga digital asset ng mga user.

Natukoy ang mga kahina-hinalang npm Package

Ang mga sumusunod na npm package ay na-flag bilang na-tamper:

  • crypto-encrypt-ts
  • react-native-scrollpageviewtest
  • bankingbundleserv
  • buttonfactoryserv-paypal
  • tommyboytesting
  • compliancereadserv-paypal
  • oauth2-paypal
  • paymentapiplatformservice-paypal
  • userbridge-paypal
  • Relasyon ng gumagamit-paypal

Ang mga paketeng ito ay marahas na ginawa upang i-exfiltrate ang sensitibong impormasyon, na nagdudulot ng malaking banta sa privacy at seguridad ng mga user.

Ang Mga Pakete ng Malware-Laden na PyPI ay umaani ng Data ng Cryptocurrency

Ang Python Package Index (PyPI) repository ay nakakita rin ng pagtaas ng mga nakompromisong pakete na nagta-target sa mga wallet ng cryptocurrency. Ang mga package na ito ay na-download nang higit sa 6,800 beses mula noong inilabas ito noong 2024 at idinisenyo upang magnakaw ng mga mnemonic seed na parirala, na ikompromiso ang mga hawak ng cryptocurrency ng mga user.

Mga Kapansin-pansing Hindi Ligtas na PyPI Package

Dalawang pangunahing pakete na nagta-target sa mga wallet ng cryptocurrency ay kinabibilangan ng:

  • web3x
  • herewalletbot

Nilalayon ng mga package na ito na siphon ang mga mnemonic seed na parirala mula sa mga user, na mapanganib ang kanilang mga digital na asset. Bukod pa rito, isa pang hanay ng pitong PyPI packages, na ngayon ay inalis na, ay natuklasan gamit ang mga SMTP server at WebSocket ng Gmail upang i-exfiltrate ang data at magtatag ng malayuang pag-access.

Gmail-Based Data Exfiltration at Remote Command Execution

Ang hindi ligtas na mga pakete ng PyPI ay gumagamit ng mga hard-coded na kredensyal ng Gmail upang mag-sign in sa SMTP server ng Gmail at magpadala ng mensahe sa isa pang Gmail address upang ipahiwatig ang isang matagumpay na kompromiso. Pagkatapos nito, ang isang koneksyon sa WebSocket ay itinatag, na nagpapahintulot sa umaatake na mapanatili ang bidirectional na komunikasyon sa nakompromisong sistema.

Ang paggamit ng mga domain ng Gmail (smtp.gmail.com) ay ginagawang mas patago ang mga pag-atakeng ito, dahil ang mga corporate proxy at endpoint protection system ay mas malamang na i-flag ang mga ito bilang kahina-hinala, dahil sa tiwala na nauugnay sa mga serbisyo ng Gmail.

Natatanging Package: cfc-bsb

Ang package na cfc-bsb ay kapansin-pansin dahil hindi ito nagtatampok ng Gmail functionality ngunit sa halip ay gumagamit ng WebSocket logic upang mapadali ang malayuang pag-access, na lampasan ang tradisyonal na mga hakbang sa pagtuklas.

Paano Bawasan ang Mga Banta sa Supply Chain

Upang maprotektahan laban sa mga mapaminsalang paketeng ito at iba pang banta sa supply chain, dapat gamitin ng mga developer ang mga sumusunod na kasanayan:

  • I-verify ang Authenticity ng Package : Suriin ang history ng publisher at mga link sa repository ng GitHub para matiyak ang pagiging lehitimo ng package.
  • Regular na Mga Dependency sa Pag-audit : Regular na i-audit ang mga dependency at tiyaking napapanahon ang mga ito at walang malisyosong code.
  • Ipatupad ang Mahigpit na Mga Kontrol sa Pag-access : Magpatupad ng mga mahigpit na mekanismo ng kontrol sa pag-access upang protektahan ang mga pribadong key at iba pang sensitibong kredensyal.

Bukod pa rito, dapat manatiling mapagbantay ang mga developer para sa mga hindi pangkaraniwang papalabas na koneksyon, partikular na ang trapiko ng SMTP, dahil maaaring gumamit ang mga umaatake ng mga lehitimong serbisyo tulad ng Gmail para sa pag-exfiltrate ng data. Mahalaga rin na iwasang magtiwala lamang sa isang pakete dahil ito ay umiral nang mahabang panahon nang hindi inaalis, dahil maaari itong magtakpan ng hindi ligtas na aktibidad.

Trending

Pinaka Nanood

Naglo-load...