惡意 Go 模組傳播磁碟抹除 Linux 惡意軟體
網路安全研究人員最近發現了三個有害的 Go 模組,它們利用混淆程式碼來獲取不安全的有效負載,這可能會對 Linux 系統造成不可逆轉的損害。這些模組看似合法,但其設計目的是執行遠端負載,擦除系統的主磁碟,使其無法啟動。
目錄
已識別不安全的 Go 軟體包
以下 Go 模組與此有關:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
這些軟體包包含高度混淆的程式碼,旨在在 Linux 系統上執行時間下載並執行有效負載。
破壞性有效載荷覆蓋關鍵磁碟數據
損壞的程式碼會檢查 Linux 作業系統,如果偵測到,請使用 wget 從遠端伺服器取得下一階段的有效負載。此有效負載是一個破壞性的 shell 腳本,它會用零覆蓋系統的主磁碟 (/dev/sda)。結果,系統無法啟動,且任何資料復原工具或取證過程都無法恢復遺失的訊息,因為磁碟已被不可逆轉地破壞。這種方法凸顯了供應鏈攻擊帶來的極端風險,合法程式碼可能會對 Linux 伺服器和開發者環境造成災難性的破壞。
欺詐性 npm 軟體包的威脅日益嚴重
除了發現不安全的 Go 模組外,還偵測到多個有害的 npm 套件。這些程式旨在收集敏感資訊,其中可能包括助記詞種子短語和私人加密貨幣金鑰,這可能導致用戶數位資產被盜。
已識別可疑 npm 軟體包
以下 npm 套件已被標記為被竄改:
- 加密-加密-ts
- react-native-scrollpageview測試
- 銀行捆綁服務
- buttonfactoryserv-paypal
- Tommyboy測試
- compliancereadserv-paypal
- oauth2-paypal
- paymentapiplatformservice-paypal
- userbridge-paypal
- 使用者關係-paypal
這些程序經過精心設計,旨在竊取敏感資訊,對使用者的隱私和安全構成巨大威脅。
惡意軟體氾濫的 PyPI 軟體包竊取加密貨幣數據
Python 套件索引 (PyPI) 儲存庫也發現針對加密貨幣錢包的受損套件數量增加。這些軟體套件自 2024 年發布以來已被下載超過 6,800 次,旨在竊取助記詞種子短語,從而危及用戶的加密貨幣持有量。
值得注意的不安全 PyPI 軟體包
針對加密貨幣錢包的兩個主要軟體包包括:
- web3x
- herewalletbot
這些程序的目的是竊取用戶的助記詞種子短語,從而危及他們的數位資產。此外,還發現另外七個 PyPI 套件(現已刪除)使用 Gmail 的 SMTP 伺服器和 WebSockets 竊取資料並建立遠端存取。
基於 Gmail 的資料外洩和遠端命令執行
不安全的 PyPI 套件使用硬編碼的 Gmail 憑證登入 Gmail 的 SMTP 伺服器並向另一個 Gmail 位址發送訊息以表明入侵成功。此後,建立 WebSocket 連接,讓攻擊者與受感染的系統保持雙向通訊。
使用 Gmail 網域 (smtp.gmail.com) 使得這些攻擊更加隱蔽,因為考慮到與 Gmail 服務相關的信任,企業代理和端點保護系統不太可能將它們標記為可疑。
傑出的軟體包:cfc-bsb
cfc-bsb 軟體包值得注意,因為它不具備 Gmail 功能,而是使用 WebSocket 邏輯來促進遠端訪問,從而繞過傳統的檢測措施。
如何減輕供應鏈威脅
為了防範這些有害軟體包和其他供應鏈威脅,開發人員應採取以下做法:
- 驗證包的真實性:檢查發布者的歷史記錄和 GitHub 儲存庫連結以確保套件的合法性。
- 定期審核依賴項:定期審核依賴項並確保它們是最新的且沒有惡意程式碼。
- 實施嚴格的存取控制:實施嚴格的存取控制機制來保護私鑰和其他敏感憑證。
此外,開發人員應該對不尋常的出站連線保持警惕,特別是 SMTP 流量,因為攻擊者可能會使用 Gmail 等合法服務進行資料外洩。同樣重要的是,不要因為一個包存在了很長時間而沒有被刪除就信任它,因為這可能會掩蓋不安全的活動。
