恶意 Go 模块传播磁盘擦除 Linux 恶意软件
网络安全研究人员最近发现了三个有害的 Go 模块,它们利用混淆代码来获取不安全的有效载荷,从而可能对 Linux 系统造成不可逆的损害。这些模块看似合法,但其设计目的是执行远程有效载荷,擦除系统的主磁盘,使其无法启动。
目录
已识别不安全的 Go 软件包
以下 Go 模块与此有关:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
这些软件包包含高度混淆的代码,旨在在 Linux 系统上运行时下载并执行有效负载。
破坏性有效载荷覆盖关键磁盘数据
受损代码会检查是否存在 Linux 操作系统,如果检测到,则会使用 wget 从远程服务器获取下一阶段的有效载荷。此有效载荷是一个破坏性的 Shell 脚本,它会用零覆盖系统的主磁盘 (/dev/sda)。这会导致系统无法启动,并且任何数据恢复工具或取证流程都无法恢复丢失的信息,因为磁盘已被不可逆地破坏。这种方法凸显了供应链攻击带来的极端风险,合法代码可能会对 Linux 服务器和开发者环境造成灾难性的破坏。
欺诈性 npm 软件包的威胁日益严重
除了发现不安全的 Go 模块外,还检测到了多个有害的 npm 软件包。这些软件包旨在窃取敏感信息,其中可能包括助记词种子短语和加密货币私钥,从而导致用户数字资产被盗。
已识别可疑 npm 软件包
以下 npm 包已被标记为被篡改:
- 加密-加密-ts
- react-native-scrollpageview测试
- 银行捆绑服务
- buttonfactoryserv-paypal
- Tommyboy测试
- compliancereadserv-paypal
- oauth2-paypal
- paymentapiplatformservice-paypal
- userbridge-paypal
- 用户关系-paypal
这些程序经过精心设计,旨在窃取敏感信息,对用户的隐私和安全构成巨大威胁。
恶意软件泛滥的 PyPI 软件包窃取加密货币数据
Python 软件包索引 (PyPI) 存储库也发现了针对加密货币钱包的受感染软件包的增多。自 2024 年发布以来,这些软件包已被下载超过 6800 次,其目的是窃取助记词种子短语,从而窃取用户的加密货币资产。
值得注意的不安全 PyPI 软件包
针对加密货币钱包的两个主要软件包包括:
- web3x
- herewalletbot
这些软件包旨在窃取用户的助记词种子短语,危及他们的数字资产。此外,另有七个 PyPI 软件包被发现利用 Gmail 的 SMTP 服务器和 WebSocket 窃取数据并建立远程访问,这些软件包现已被删除。
基于 Gmail 的数据泄露和远程命令执行
不安全的 PyPI 软件包使用硬编码的 Gmail 凭据登录 Gmail 的 SMTP 服务器,并向另一个 Gmail 地址发送消息以表明已成功入侵。此后,系统会建立 WebSocket 连接,使攻击者能够与受感染的系统保持双向通信。
使用 Gmail 域名 (smtp.gmail.com) 使得这些攻击更加隐蔽,因为考虑到与 Gmail 服务相关的信任,企业代理和端点保护系统不太可能将它们标记为可疑。
杰出的软件包:cfc-bsb
cfc-bsb 软件包值得注意,因为它不具备 Gmail 功能,而是使用 WebSocket 逻辑来促进远程访问,从而绕过传统的检测措施。
如何减轻供应链威胁
为了防范这些有害软件包和其他供应链威胁,开发人员应采取以下做法:
- 验证包的真实性:检查发布者的历史记录和 GitHub 存储库链接以确保包的合法性。
- 定期审核依赖项:定期审核依赖项并确保它们是最新的并且没有恶意代码。
- 实施严格的访问控制:实施严格的访问控制机制来保护私钥和其他敏感凭证。
此外,开发人员应保持对异常出站连接(尤其是 SMTP 流量)的警惕,因为攻击者可能会使用 Gmail 等合法服务进行数据泄露。同样重要的是,不要仅仅因为某个软件包存在很长时间而没有被删除就信任它,因为这可能会掩盖不安全的活动。
