Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Шкідливі модулі Go поширюють шкідливе програмне...

Шкідливі модулі Go поширюють шкідливе програмне забезпечення для Linux, що очищує диск

До Mezo року в Шкідливе програмне забезпечення році
Перекласти на:

Дослідники з кібербезпеки нещодавно виявили три шкідливі модулі Go, які використовують обфускований код для отримання небезпечних корисних навантажень, що може безповоротно пошкодити системи Linux. Ці модулі здаються легітимними, але призначені для віддаленого виконання корисних навантажень, які стирають основний диск системи, роблячи її неможливою для завантаження.

Виявлені небезпечні пакети Go

Йдеться про такі модулі Go:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Ці пакети містять сильно обфускований код, розроблений для завантаження та виконання корисних навантажень під час роботи в системі Linux.

Деструктивні корисні навантаження перезаписують критично важливі дані на диску

Пошкоджений код перевіряє наявність операційної системи Linux і, якщо його виявляється, використовує wget для отримання наступного корисного навантаження з віддаленого сервера. Це корисне навантаження є деструктивним скриптом оболонки, який перезаписує основний диск системи (/dev/sda) нулями. В результаті система стає непридатною для завантаження, і жодні інструменти відновлення даних чи судово-медичні процеси не можуть відновити втрачену інформацію, оскільки диск безповоротно знищується. Цей метод підкреслює надзвичайні ризики, пов'язані з атаками на ланцюг поставок, коли легітимний код може завдати катастрофічної шкоди серверам Linux та середовищам розробника.

Зростаюча загроза від шахрайських npm-пакетів

Поряд із виявленням небезпечних модулів Go, також було виявлено кілька шкідливих npm-пакетів. Ці пакети призначені для збору конфіденційної інформації, яка може включати мнемонічні фрази-паролі та приватні ключі криптовалюти, що може призвести до крадіжки цифрових активів користувачів.

Виявлено підозрілі npm-пакети

Наступні npm-пакети позначено як підроблені:

  • крипто-шифрування-ts
  • react-native-scrollpageviewtest
  • банківський пакет послуг
  • buttonfactoryserv-paypal
  • томмібойтестування
  • compliancereadserv-paypal
  • oauth2-paypal
  • оплатаapiplatformservice-paypal
  • userbridge-paypal
  • Зв'язок з користувачем у PayPal

    • Ці пакети злобно створені для викрадання конфіденційної інформації, що створює величезну загрозу конфіденційності та безпеці користувачів.

    Заражені шкідливим програмним забезпеченням пакети PyPI збирають дані про криптовалюту

    У репозиторії Python Package Index (PyPI) також спостерігається зростання кількості скомпрометованих пакетів, спрямованих на криптовалютні гаманці. Ці пакети були завантажені понад 6800 разів з моменту їх випуску в 2024 році та розроблені для крадіжки мнемонічних фраз, що компрометує криптовалютні активи користувачів.

    Помітні небезпечні пакети PyPI

    Два ключові пакети, орієнтовані на криптовалютні гаманці, включають:

    • web3x
    • herewalletbot

    Ці пакети мають на меті витягувати мнемонічні фрази з користувачів, ставлячи під загрозу їхні цифрові активи. Крім того, було виявлено ще один набір із семи пакетів PyPI, які вже видалено, що використовують SMTP-сервери Gmail та WebSockets для вилучення даних та встановлення віддаленого доступу.

    Витік даних на основі Gmail та віддалене виконання команд

    Небезпечні пакети PyPI використовують жорстко закодовані облікові дані Gmail для входу на SMTP-сервер Gmail та надсилання повідомлення на іншу адресу Gmail, щоб свідчити про успішну компрометацію. Після цього встановлюється з’єднання WebSocket, що дозволяє зловмиснику підтримувати двонаправлений зв’язок зі скомпрометованою системою.

    Використання доменів Gmail (smtp.gmail.com) робить ці атаки більш прихованими, оскільки корпоративні проксі-сервери та системи захисту кінцевих точок з меншою ймовірністю позначатимуть їх як підозрілі, враховуючи довіру, пов’язану з сервісами Gmail.

    Видатний пакет: cfc-bsb

    Пакет cfc-bsb вартий уваги, оскільки він не має функціональності Gmail, а натомість використовує логіку WebSocket для забезпечення віддаленого доступу, минаючи традиційні засоби виявлення.

    Як пом'якшити загрози для ланцюга поставок

    Щоб захиститися від цих шкідливих пакетів та інших загроз ланцюгу поставок, розробникам слід дотримуватися таких практик:

    • Перевірка автентичності пакета : Перевірте історію видавця та посилання на репозиторій GitHub, щоб переконатися в легітимності пакета.
    • Регулярний аудит залежностей : регулярно перевіряйте залежності та переконайтеся, що вони актуальні та не містять шкідливого коду.
    • Забезпечення суворого контролю доступу : впроваджуйте механізми суворого контролю доступу для захисту закритих ключів та інших конфіденційних облікових даних.

      • Крім того, розробникам слід пильно стежити за незвичайними вихідними з’єднаннями, зокрема SMTP-трафіком, оскільки зловмисники можуть використовувати легітимні сервіси, такі як Gmail, для витоку даних. Також важливо уникати довіри до пакета лише тому, що він існує вже давно і не був видалений, оскільки це може маскувати небезпечну активність.

      В тренді

      Webheroes.store

      Без категорії, Викрадачі браузера, Шахрайські веб-сайти
      Webheroes.store існує виключно як платформа для онлайн-тактики. Користувачам настійно рекомендується закрити сторінку, щойно вони потраплять на неї. Крім того, навмисне зустріч із Webheroes.store вкрай малоймовірно. У переважній більшості випадків користувачі потрапляють у такі сумнівні напрямки в результаті примусових перенаправлень, викликаних шахрайськими рекламними мережами або ПНП...

      Компенсація DOGE жертвам шахрайства по всьому світу

      Фішинг, Спам
      Залишатися пильним важливо як ніколи. Щодня кіберзлочинці винаходять нові способи маніпулювання користувачами, які нічого не підозрюють, часто маскуючи тактику під законні комунікації. Фішингові шахрайські електронні листи особливо небезпечні, оскільки вони спрямовані на довіру та цікавість людини, часто використовуючи офіційну мову та логотипи, щоб виглядати достовірними. Одна з таких...

      Mosdefender.co.in

      Шахрайські веб-сайти, рекламне ПЗ, Викрадачі браузера
      Бути обережним в Інтернеті як ніколи важливо. З незліченною кількістю веб-сайтів, створених для введення в оману, шахрайства або зараження користувачів шкідливим програмним забезпеченням, навіть...

      Найбільше переглянуті

      Шкідливе програмне забезпечення

      Фішинг, Спам
      32,903
      Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
      Завантаження...