Ssylka

Как вредоносные Go-модули стирают диски Linux-систем через атаки на цепочку поставок?

В мире кибербезопасности обнаружена новая угроза: исследователи выявили три вредоносных модуля Go, содержащих обфусцированный код, который может полностью уничтожить данные на Linux-системах. Эти модули загружают вредоносные программы, способные перезаписать основной диск Linux-системы и сделать её полностью неработоспособной.
Как вредоносные Go-модули стирают диски Linux-систем через атаки на цепочку поставок?
Изображение носит иллюстративный характер

Исследователь Socket Куш Пандья идентифицировал следующие вредоносные пакеты Go: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy. Механизм атаки прост, но крайне разрушителен. Пакеты проверяют, является ли операционная система Linux, и если это так, они используют утилиту wget для загрузки следующей части вредоносного кода — деструктивного shell-скрипта, который перезаписывает основной диск ("/dev/sda") нулями. Этот метод необратим — восстановление данных после такой атаки невозможно.

Помимо модулей Go, исследователи также обнаружили несколько вредоносных npm-пакетов: crypto-encrypt-ts, react-native-scrollpageviewtest, bankingbundleserv, buttonfactoryserv-paypal, tommyboytesting, compliancereadserv-paypal, oauth2-paypal, paymentapiplatformservice-paypal, userbridge-paypal и userrelationship-paypal.

Угроза распространяется и на экосистему Python. Вредоносные PyPI-пакеты web3x и herewalletbot, нацеленные на кражу криптовалютных кошельков, были загружены более 6800 раз с начала 2024 года. Семь других PyPI-пакетов используют SMTP-серверы Gmail и WebSockets для эксфильтрации данных. Пакет cfc-bsb, хотя и не использует функциональность Gmail, применяет WebSocket для удалённого доступа.

Злоумышленники используют изощрённые методы обхода защиты. Они эксплуатируют доверие к доменам Gmail ("smtp.gmail[.]com"), поскольку корпоративные прокси и системы защиты с меньшей вероятностью пометят домены Gmail как подозрительные.

Для защиты от подобных атак исследователь Socket Оливия Браун рекомендует проверять подлинность пакетов, изучая историю издателя и ссылки на репозитории GitHub. Важно регулярно проводить аудит зависимостей и применять строгий контроль доступа к приватным ключам. Также следует отслеживать необычные исходящие соединения, особенно SMTP-трафик, и не доверять пакетам только на основании их длительного существования.

Эта серия атак демонстрирует растущую сложность и изощрённость угроз в цепочке поставок программного обеспечения. Злоумышленники целенаправленно атакуют различные экосистемы разработки, используя многоступенчатые атаки и методы обфускации для обхода стандартных средств защиты.


Новое на сайте

15648Научный оазис в скалистых горах: как заброшенный шахтёрский городок стал центром мировых... 15647Лоррейн Келли успокаивает поклонников перед хирургической операцией 15646Как вредоносные Go-модули стирают диски Linux-систем через атаки на цепочку поставок? 156459 незаменимых электроинструментов для каждого дома: когда и как их использовать 15644Астроном-любитель из вермонта запечатлел впечатляющие галактики со своей домашней... 15643Как финансовые стимулы в законе об эвтаназии могут повлиять на уязвимые группы населения? 15642Как гусеница-коллекционер костей стала хищником в паутинах Гавайев? 15641Мелодии иллюзий: как музыка Роя Орбисона формирует кинематографический мир Дэвида Линча 15640Почему насекомые исчезают с лобовых стекол автомобилей? 15639Как жительница Чили с мышечной дистрофией стала символом борьбы за право на эвтаназию? 15638Почему диагноз аутизма стал ставиться в 8 раз чаще: изменение диагностической культуры... 15637Как древние математические последовательности привели к революционному решению полиномов... 15636Что скрывается за пределами Нептуна: новый кандидат на роль загадочной планеты девять? 15635Революционная обсерватория SPHEREx: NASA создаёт трехмерную карту вселенной 15634Стильный дом для фанатов: коллекция ковров Star Wars от Ruggable со скидкой к празднику