В мире кибербезопасности обнаружена новая угроза: исследователи выявили три вредоносных модуля Go, содержащих обфусцированный код, который может полностью уничтожить данные на Linux-системах. Эти модули загружают вредоносные программы, способные перезаписать основной диск Linux-системы и сделать её полностью неработоспособной.
Исследователь Socket Куш Пандья идентифицировал следующие вредоносные пакеты Go: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy. Механизм атаки прост, но крайне разрушителен. Пакеты проверяют, является ли операционная система Linux, и если это так, они используют утилиту wget для загрузки следующей части вредоносного кода — деструктивного shell-скрипта, который перезаписывает основной диск ("/dev/sda") нулями. Этот метод необратим — восстановление данных после такой атаки невозможно.
Помимо модулей Go, исследователи также обнаружили несколько вредоносных npm-пакетов: crypto-encrypt-ts, react-native-scrollpageviewtest, bankingbundleserv, buttonfactoryserv-paypal, tommyboytesting, compliancereadserv-paypal, oauth2-paypal, paymentapiplatformservice-paypal, userbridge-paypal и userrelationship-paypal.
Угроза распространяется и на экосистему Python. Вредоносные PyPI-пакеты web3x и herewalletbot, нацеленные на кражу криптовалютных кошельков, были загружены более 6800 раз с начала 2024 года. Семь других PyPI-пакетов используют SMTP-серверы Gmail и WebSockets для эксфильтрации данных. Пакет cfc-bsb, хотя и не использует функциональность Gmail, применяет WebSocket для удалённого доступа.
Злоумышленники используют изощрённые методы обхода защиты. Они эксплуатируют доверие к доменам Gmail ("smtp.gmail[.]com"), поскольку корпоративные прокси и системы защиты с меньшей вероятностью пометят домены Gmail как подозрительные.
Для защиты от подобных атак исследователь Socket Оливия Браун рекомендует проверять подлинность пакетов, изучая историю издателя и ссылки на репозитории GitHub. Важно регулярно проводить аудит зависимостей и применять строгий контроль доступа к приватным ключам. Также следует отслеживать необычные исходящие соединения, особенно SMTP-трафик, и не доверять пакетам только на основании их длительного существования.
Эта серия атак демонстрирует растущую сложность и изощрённость угроз в цепочке поставок программного обеспечения. Злоумышленники целенаправленно атакуют различные экосистемы разработки, используя многоступенчатые атаки и методы обфускации для обхода стандартных средств защиты.
Изображение носит иллюстративный характер
Исследователь Socket Куш Пандья идентифицировал следующие вредоносные пакеты Go: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy. Механизм атаки прост, но крайне разрушителен. Пакеты проверяют, является ли операционная система Linux, и если это так, они используют утилиту wget для загрузки следующей части вредоносного кода — деструктивного shell-скрипта, который перезаписывает основной диск ("/dev/sda") нулями. Этот метод необратим — восстановление данных после такой атаки невозможно.
Помимо модулей Go, исследователи также обнаружили несколько вредоносных npm-пакетов: crypto-encrypt-ts, react-native-scrollpageviewtest, bankingbundleserv, buttonfactoryserv-paypal, tommyboytesting, compliancereadserv-paypal, oauth2-paypal, paymentapiplatformservice-paypal, userbridge-paypal и userrelationship-paypal.
Угроза распространяется и на экосистему Python. Вредоносные PyPI-пакеты web3x и herewalletbot, нацеленные на кражу криптовалютных кошельков, были загружены более 6800 раз с начала 2024 года. Семь других PyPI-пакетов используют SMTP-серверы Gmail и WebSockets для эксфильтрации данных. Пакет cfc-bsb, хотя и не использует функциональность Gmail, применяет WebSocket для удалённого доступа.
Злоумышленники используют изощрённые методы обхода защиты. Они эксплуатируют доверие к доменам Gmail ("smtp.gmail[.]com"), поскольку корпоративные прокси и системы защиты с меньшей вероятностью пометят домены Gmail как подозрительные.
Для защиты от подобных атак исследователь Socket Оливия Браун рекомендует проверять подлинность пакетов, изучая историю издателя и ссылки на репозитории GitHub. Важно регулярно проводить аудит зависимостей и применять строгий контроль доступа к приватным ключам. Также следует отслеживать необычные исходящие соединения, особенно SMTP-трафик, и не доверять пакетам только на основании их длительного существования.
Эта серия атак демонстрирует растущую сложность и изощрённость угроз в цепочке поставок программного обеспечения. Злоумышленники целенаправленно атакуют различные экосистемы разработки, используя многоступенчатые атаки и методы обфускации для обхода стандартных средств защиты.
