Kötü Amaçlı Go Modülleri Disk Silen Linux Kötü Amaçlı Yazılımını Yayıyor
Siber güvenlik araştırmacıları yakın zamanda, Linux sistemlerine geri döndürülemez şekilde zarar verebilecek güvenli olmayan yükleri almak için gizlenmiş kod kullanan üç zararlı Go modülünü ortaya çıkardı. Bu modüller meşru gibi görünse de, bir sistemin birincil diskini silerek onu önyüklenemez hale getiren uzak yükleri yürütmek üzere tasarlanmıştır.
İçindekiler
Güvenli Olmayan Go Paketleri Belirlendi
Aşağıdaki Go modülleri söz konusudur:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Bu paketler, Linux sisteminde çalıştırıldığında yükleri indirmek ve yürütmek üzere tasarlanmış, oldukça karmaşık kodlar içerir.
Yıkıcı Yükler Kritik Disk Verilerinin Üzerine Yazar
Hasarlı kod bir Linux işletim sistemini kontrol eder ve tespit edilirse uzak bir sunucudan bir sonraki aşama yükünü almak için wget kullanır. Bu yük, sistemin birincil diskini (/dev/sda) sıfırlarla üzerine yazan yıkıcı bir kabuk betiğidir. Sonuç olarak sistem önyüklenemez hale gelir ve disk geri döndürülemez şekilde yok edildiğinden hiçbir veri kurtarma aracı veya adli işlem kaybolan bilgileri geri yükleyemez. Bu yöntem, meşru kodun Linux sunucularına ve geliştirici ortamlarına felaket düzeyinde hasar verebileceği tedarik zinciri saldırılarının oluşturduğu aşırı riskleri vurgular.
Sahte npm Paketlerinden Kaynaklanan Artan Tehdit
Güvenli olmayan Go modüllerinin keşfinin yanı sıra, birden fazla zararlı npm paketi de tespit edildi. Bu paketler, kullanıcıların dijital varlıklarının çalınmasına yol açabilecek, hafıza ifadeleri ve özel kripto para birimi anahtarları içerebilen hassas bilgileri toplamak için tasarlanmıştır.
Şüpheli npm Paketleri Belirlendi
Aşağıdaki npm paketleri değiştirilmiş olarak işaretlendi:
- kripto-şifrele-ts
- tepki-yerel-kaydırmasayfagörüntülemetesti
- bankacılıkpaketservisi
- düğmefabrikaserv-paypal
- tommyboytest ediyor
- uyumlulukokuserv-paypal
- oauth2-paypal
- ödemeapıplatformhizmeti-paypal
- kullanıcıköprüsü-paypal
- Kullanıcıilişkisi-paypal
Bu paketler hassas bilgileri sızdırmak için acımasızca tasarlanmış olup kullanıcıların gizliliği ve güvenliği açısından büyük bir tehdit oluşturmaktadır.
Kötü Amaçlı Yazılım Yüklü PyPI Paketleri Kripto Para Birimi Verilerini Topluyor
Python Paket Endeksi (PyPI) deposu ayrıca kripto para cüzdanlarını hedef alan tehlikeye atılmış paketlerin artışına tanık oldu. Bu paketler 2024'teki yayınlanmalarından bu yana 6.800'den fazla kez indirildi ve kullanıcıların kripto para varlıklarını tehlikeye atarak anımsatıcı tohum ifadelerini çalmak için tasarlandı.
Dikkat Çeken Güvenli Olmayan PyPI Paketleri
Kripto para cüzdanlarını hedefleyen iki temel paket şunlardır:
- web3x
- herewalletbot
Bu paketler, kullanıcıların dijital varlıklarını tehlikeye atarak, hafızaya dayalı tohum ifadelerini sızdırmayı amaçlıyor. Ayrıca, artık kaldırılmış olan yedi PyPI paketinden oluşan bir setin, Gmail'in SMTP sunucularını ve WebSockets'lerini kullanarak verileri sızdırmak ve uzaktan erişim sağlamak için kullanıldığı keşfedildi.
Gmail Tabanlı Veri Sızdırma ve Uzaktan Komut Yürütme
Güvenli olmayan PyPI paketleri, Gmail'in SMTP sunucusunda oturum açmak ve başarılı bir uzlaşmayı belirtmek için başka bir Gmail adresine bir mesaj göndermek için sabit kodlanmış Gmail kimlik bilgilerini kullanır. Bundan sonra, saldırganın tehlikeye atılan sistemle çift yönlü iletişimi sürdürmesine olanak tanıyan bir WebSocket bağlantısı kurulur.
Gmail alan adlarının (smtp.gmail.com) kullanılması, bu saldırıları daha gizli hale getiriyor çünkü Gmail hizmetlerine duyulan güven göz önüne alındığında, kurumsal proxy'lerin ve uç nokta koruma sistemlerinin bunları şüpheli olarak işaretleme olasılığı daha düşük oluyor.
Öne Çıkan Paket: cfc-bsb
cfc-bsb paketi, Gmail işlevselliğini barındırmaması ve bunun yerine geleneksel algılama önlemlerini atlatarak uzaktan erişimi kolaylaştırmak için WebSocket mantığını kullanması bakımından dikkat çekicidir.
Tedarik Zinciri Tehditleri Nasıl Azaltılır
Bu zararlı paketlere ve diğer tedarik zinciri tehditlerine karşı korunmak için geliştiricilerin aşağıdaki uygulamaları benimsemeleri gerekir:
- Paketin Gerçekliğini Doğrulayın : Paketin meşruiyetini sağlamak için yayıncının geçmişini ve GitHub deposu bağlantılarını kontrol edin.
- Bağımlılıkları Düzenli Olarak Denetleyin : Bağımlılıkları düzenli olarak denetleyin ve güncel olduklarından ve kötü amaçlı kodlardan arınmış olduklarından emin olun.
- Sıkı Erişim Kontrollerini Uygulayın : Özel anahtarlarınızı ve diğer hassas kimlik bilgilerinizi korumak için sıkı erişim kontrol mekanizmaları uygulayın.
Ek olarak, saldırganlar veri sızdırma için Gmail gibi meşru hizmetleri kullanabileceğinden, geliştiriciler özellikle SMTP trafiği olmak üzere alışılmadık giden bağlantılara karşı dikkatli olmalıdır. Ayrıca, uzun süredir kaldırılmadan var olduğu için bir pakete güvenmekten kaçınmak da önemlidir, çünkü bu güvenli olmayan etkinliği maskeleyebilir.
