Các mô-đun Go độc hại phát tán phần mềm độc hại Linux xóa đĩa

Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra ba mô-đun Go có hại sử dụng mã được mã hóa để lấy các tải trọng không an toàn, có thể gây hại không thể phục hồi cho các hệ thống Linux. Các mô-đun này có vẻ hợp pháp nhưng được thiết kế để thực thi các tải trọng từ xa xóa sạch đĩa chính của hệ thống, khiến nó không thể khởi động được.

Các gói Go không an toàn đã được xác định

Các mô-đun Go sau đây có liên quan:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Các gói này chứa mã được tối giản hóa cao, được thiết kế để tải xuống và thực thi các tải trọng khi chạy trên hệ thống Linux.

Tải trọng phá hoại ghi đè dữ liệu đĩa quan trọng

Mã bị hỏng kiểm tra hệ điều hành Linux và nếu phát hiện, sử dụng wget để lấy tải trọng giai đoạn tiếp theo từ máy chủ từ xa. Tải trọng này là một tập lệnh shell phá hoại ghi đè đĩa chính của hệ thống (/dev/sda) bằng số không. Kết quả là, hệ thống không thể khởi động được và không có công cụ khôi phục dữ liệu hoặc quy trình pháp y nào có thể khôi phục thông tin đã mất vì đĩa bị phá hủy không thể phục hồi. Phương pháp này nêu bật những rủi ro cực độ do các cuộc tấn công chuỗi cung ứng gây ra, trong đó mã hợp pháp có thể gây ra thiệt hại thảm khốc cho máy chủ Linux và môi trường nhà phát triển.

Mối đe dọa ngày càng tăng từ các gói npm gian lận

Bên cạnh việc phát hiện ra các module Go không an toàn, nhiều gói npm có hại cũng đã được phát hiện. Các gói này được thiết kế để thu thập thông tin nhạy cảm, có thể bao gồm cụm từ hạt giống ghi nhớ và khóa tiền điện tử riêng tư, có thể dẫn đến việc đánh cắp tài sản kỹ thuật số của người dùng.

Đã xác định được các gói npm đáng ngờ

Các gói npm sau đây đã được đánh dấu là bị giả mạo:

• mã hóa-mã hóa-ts
• react-native-scrollpageviewtest
• bankbundleserv
• buttonfactoryserv-paypal
• tommyboy thử nghiệm
• tuân thủreadserv-paypal
• oauth2-paypal
• thanh toánapiplatformservice-paypal

• userbridge-paypal

• Mối quan hệ người dùng-paypal

Những gói này được thiết kế một cách độc hại để đánh cắp thông tin nhạy cảm, gây ra mối đe dọa lớn đến quyền riêng tư và bảo mật của người dùng.

Các gói PyPI chứa phần mềm độc hại thu thập dữ liệu tiền điện tử

Kho lưu trữ Python Package Index (PyPI) cũng chứng kiến sự gia tăng của các gói bị xâm phạm nhắm vào ví tiền điện tử. Các gói này đã được tải xuống hơn 6.800 lần kể từ khi phát hành vào năm 2024 và được thiết kế để đánh cắp cụm từ hạt giống ghi nhớ, xâm phạm quyền sở hữu tiền điện tử của người dùng.

Các gói PyPI không an toàn đáng chú ý

Hai gói chính nhắm vào ví tiền điện tử bao gồm:

• web3x
• herewalletbot

Các gói này nhằm mục đích trích xuất các cụm từ hạt giống ghi nhớ từ người dùng, gây nguy hiểm cho tài sản kỹ thuật số của họ. Ngoài ra, một bộ bảy gói PyPI khác, hiện đã bị xóa, đã được phát hiện bằng cách sử dụng máy chủ SMTP và WebSockets của Gmail để trích xuất dữ liệu và thiết lập quyền truy cập từ xa.

Lọc dữ liệu dựa trên Gmail và thực thi lệnh từ xa

Các gói PyPI không an toàn sử dụng thông tin xác thực Gmail được mã hóa cứng để đăng nhập vào máy chủ SMTP của Gmail và gửi tin nhắn đến một địa chỉ Gmail khác để chỉ ra sự xâm phạm thành công. Sau đó, kết nối WebSocket được thiết lập, cho phép kẻ tấn công duy trì giao tiếp hai chiều với hệ thống bị xâm phạm.

Việc sử dụng tên miền Gmail (smtp.gmail.com) khiến các cuộc tấn công này trở nên bí mật hơn vì các proxy của công ty và hệ thống bảo vệ điểm cuối ít có khả năng đánh dấu chúng là đáng ngờ, xét đến sự tin cậy liên quan đến các dịch vụ Gmail.

Gói nổi bật: cfc-bsb

Gói cfc-bsb đáng chú ý vì nó không có chức năng Gmail mà thay vào đó sử dụng logic WebSocket để tạo điều kiện truy cập từ xa, bỏ qua các biện pháp phát hiện truyền thống.

Làm thế nào để giảm thiểu các mối đe dọa chuỗi cung ứng

Để bảo vệ khỏi các gói độc hại này và các mối đe dọa khác trong chuỗi cung ứng, các nhà phát triển nên áp dụng các biện pháp sau:

• Xác minh tính xác thực của gói : Kiểm tra lịch sử của nhà xuất bản và liên kết kho lưu trữ GitHub để đảm bảo tính hợp pháp của gói.

• Kiểm tra các phụ thuộc thường xuyên : Kiểm tra các phụ thuộc thường xuyên và đảm bảo chúng được cập nhật và không có mã độc hại.

• Thực thi Kiểm soát Truy cập Nghiêm ngặt : Triển khai các cơ chế kiểm soát truy cập nghiêm ngặt để bảo vệ khóa riêng tư và các thông tin xác thực nhạy cảm khác.

Ngoài ra, các nhà phát triển nên luôn cảnh giác với các kết nối ra bất thường, đặc biệt là lưu lượng SMTP, vì kẻ tấn công có thể sử dụng các dịch vụ hợp pháp như Gmail để đánh cắp dữ liệu. Điều quan trọng nữa là tránh tin tưởng một gói chỉ vì nó đã tồn tại trong một thời gian dài mà không bị xóa, vì điều này có thể che giấu hoạt động không an toàn.