Исследователь безопасности Оливия Браун из компании Socket обнаружила целевую кампанию, использующую вредоносные пакеты Go для распространения кроссплатформенного вредоносного ПО. Было выявлено 11 пакетов, разработанных для атак на операционные системы Windows и Linux. Анализ общей инфраструктуры управления (C2) и формата кода указывает на то, что за созданием всех пакетов стоит один и тот же злоумышленник.
При выполнении код скрытно запускает системную оболочку, после чего загружает и исполняет вторую ступень вредоносной нагрузки непосредственно в оперативной памяти. Для связи с командными серверами используются взаимозаменяемые домены в , что усложняет блокировку инфраструктуры.
Механизм доставки адаптирован под целевую платформу. Для систем Linux через bash-скрипт доставляются бинарные файлы формата ELF. Для Windows используется системная утилита
Уязвимость кроется в децентрализованной природе экосистемы Go, которая позволяет разработчикам импортировать зависимости напрямую из репозиториев GitHub. При поиске пакетов на официальном ресурсе могут отображаться несколько модулей с похожими названиями, что затрудняет идентификацию легитимного варианта. Злоумышленники пользуются этой путаницей, создавая вредоносные пространства имен модулей, которые выглядят заслуживающими доверия.
К списку вредоносных пакетов Go относятся:
Параллельно была выявлена другая угроза в экосистеме npm, обнаруженная исследователем безопасности Кушем Пандья. Два вредоносных npm-пакета,
Эти пакеты маскируются под библиотеки сокетов для WhatsApp, однако их основная функция — удаленное уничтожение данных на системе разработчика. Вредоносная функциональность содержит «аварийный выключатель» (kill switch), который активируется на основе сверки с удаленной базой данных.
Для срабатывания механизма уничтожения данных пакеты обращаются к репозиторию на GitHub, откуда извлекают базу данных телефонных номеров, принадлежащих индонезийским пользователям. Кроме того, в коде присутствует функция для сбора и отправки информации об устройстве, однако вызовы этой функции закомментированы, что может свидетельствовать о незавершенной разработке.
В пакете
Согласно анализу Fortinet FortiGuard Labs, репозитории с открытым исходным кодом остаются постоянным и привлекательным каналом для распространения вредоносного ПО в цепочках поставок программного обеспечения. Злоумышленники используют проверенные и незаметные техники для достижения максимального эффекта.
Цели злоумышленников включают кражу конфиденциальной информации и нацеливание на криптовалютные кошельки. Их тактики не претерпели значительных изменений и по-прежнему опираются на минимизацию количества файлов, использование установочных скриптов и применение скрытых методов эксфильтрации данных. Наблюдается устойчивый рост использования обфускации для сокрытия вредоносного кода.
По мере роста популярности программного обеспечения с открытым исходным кодом (OSS) поверхность для атак на цепочки поставок будет только расширяться. Это требует от разработчиков и пользователей постоянной бдительности и непрерывного мониторинга используемых зависимостей.
Изображение носит иллюстративный характер
При выполнении код скрытно запускает системную оболочку, после чего загружает и исполняет вторую ступень вредоносной нагрузки непосредственно в оперативной памяти. Для связи с командными серверами используются взаимозаменяемые домены в , что усложняет блокировку инфраструктуры.
Механизм доставки адаптирован под целевую платформу. Для систем Linux через bash-скрипт доставляются бинарные файлы формата ELF. Для Windows используется системная утилита
certutil.exe для загрузки переносимых исполняемых файлов (PE). После активации вредоносное ПО способно собирать информацию о хосте, получать доступ к данным веб-браузеров и отправлять сигналы на свои командные серверы. Функционал скрыт с помощью обфусцированного загрузчика. Уязвимость кроется в децентрализованной природе экосистемы Go, которая позволяет разработчикам импортировать зависимости напрямую из репозиториев GitHub. При поиске пакетов на официальном ресурсе могут отображаться несколько модулей с похожими названиями, что затрудняет идентификацию легитимного варианта. Злоумышленники пользуются этой путаницей, создавая вредоносные пространства имен модулей, которые выглядят заслуживающими доверия.
К списку вредоносных пакетов Go относятся:
github.com/stripedconsu/linker, github.com/agitatedleopa/stm, github.com/expertsandba/opt, github.com/wetteepee/hcloud-ip-floater, github.com/weightycine/replika, github.com/ordinarymea/tnsr_ids, github.com/ordinarymea/TNSR_IDS, github.com/cavernouskina/mcp-go, github.com/lastnymph/gouid, github.com/sinfulsky/gouid и github.com/briefinitia/gouid. Параллельно была выявлена другая угроза в экосистеме npm, обнаруженная исследователем безопасности Кушем Пандья. Два вредоносных npm-пакета,
naya-flore и nvlore-hsc, были загружены в общей сложности более 1110 раз и на момент анализа оставались доступными в репозитории npm. Эти пакеты маскируются под библиотеки сокетов для WhatsApp, однако их основная функция — удаленное уничтожение данных на системе разработчика. Вредоносная функциональность содержит «аварийный выключатель» (kill switch), который активируется на основе сверки с удаленной базой данных.
Для срабатывания механизма уничтожения данных пакеты обращаются к репозиторию на GitHub, откуда извлекают базу данных телефонных номеров, принадлежащих индонезийским пользователям. Кроме того, в коде присутствует функция для сбора и отправки информации об устройстве, однако вызовы этой функции закомментированы, что может свидетельствовать о незавершенной разработке.
В пакете
naya-flore, опубликованном в начале июля пользователем "nayflore", также был обнаружен жестко закодированный персональный токен доступа к GitHub (Personal Access Token). Этот токен предоставляет несанкционированный доступ к частным репозиториям, хотя его конкретное предназначение в рамках данной атаки остается неясным. Согласно анализу Fortinet FortiGuard Labs, репозитории с открытым исходным кодом остаются постоянным и привлекательным каналом для распространения вредоносного ПО в цепочках поставок программного обеспечения. Злоумышленники используют проверенные и незаметные техники для достижения максимального эффекта.
Цели злоумышленников включают кражу конфиденциальной информации и нацеливание на криптовалютные кошельки. Их тактики не претерпели значительных изменений и по-прежнему опираются на минимизацию количества файлов, использование установочных скриптов и применение скрытых методов эксфильтрации данных. Наблюдается устойчивый рост использования обфускации для сокрытия вредоносного кода.
По мере роста популярности программного обеспечения с открытым исходным кодом (OSS) поверхность для атак на цепочки поставок будет только расширяться. Это требует от разработчиков и пользователей постоянной бдительности и непрерывного мониторинга используемых зависимостей.
