Istraživači iz oblasti cyber sigurnosti otkrili su tri maliciozna Go modula koji sadrže zamaskirani kod osmišljen za preuzimanje narednih faza malvera, čiji je cilj nepovratno prebrisati primarni disk Linux sistema i učiniti ga neupotrebljivim.
Nazivi paketa su sljedeći:
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
„Iako naizgled legitimni, ovi moduli sadržavali su visoko obfuskirani kod namijenjen preuzimanju i izvršavanju udaljenih payloadova,“ rekao je istraživač iz kompanije Socket, Kush Pandya.
Paketi su dizajnisani da provjere da li se izvršavaju na Linux operativnom sistemu i, ako je to slučaj, koriste wget za preuzimanje sljedeće faze napada sa udaljenog servera.
Payload je destruktivni shell skript koji prepisuje cijeli primarni disk (/dev/sda) nulama, čime se efikasno onemogućava pokretanje sistema.
„Ova destruktivna metoda osigurava da nijedan alat za oporavak podataka niti forenzički proces ne može povratiti podatke, jer ih direktno i nepovratno briše,“ izjavio je Pandya.
„Ovaj maliciozne skript ostavlja pogođene Linux servere ili razvojna okruženja potpuno onesposobljenim, naglašavajući ekstremnu opasnost koju predstavljaju moderni napadi na lanac snabdijevanja, koji mogu pretvoriti naizgled pouzdan kod u razorne prijetnje.“
Ovo otkriće dolazi u trenutku kada je identifikovan veći broj maliciozni npm paketa u registru, koji imaju mogućnosti krađe mnemonijskih fraza i privatnih kripto ključeva, te eksfiltraciju osjetljivih podataka. Lista paketa koju su identificirali Socket, Sonatype i Fortinet uključuje:
- crypto-encrypt-ts
- react-native-scrollpageviewtest
- bankingbundleserv
- buttonfactoryserv-paypal
- tommyboytesting
- compliancereadserv-paypal
- oauth2-paypal
- paymentapiplatformservice-paypal
- userbridge-paypal
- userrelationship-paypal
Maliciozni paketi usmjereni na kripto novčanike takođe su otkriveni i u Python Package Index (PyPI) repozitoriju – web3x i herewalletbot – sa sposobnostima za krađu mnemonijskih fraza. Ovi paketi su zajednički preuzeti više od 6.800 puta od objavljivanja u 2024. godini.
Još jedan set od sedam PyPI paketa otkriven je kako koristi Gmail SMTP servere i WebSocket konekcije za eksfiltraciju podataka i izvršavanje komandi na daljinu, s ciljem izbjegavanja detekcije. Paketi, koji su u međuvremenu uklonjeni, su:
- cfc-bsb (2.913 preuzimanja)
- coffin2022 (6.571 preuzimanje)
- coffin-codes-2022 (18.126 preuzimanja)
- coffin-codes-net (6.144 preuzimanja)
- coffin-codes-net2 (6.238 preuzimanja)
- coffin-codes-pro (9.012 preuzimanja)
- coffin-grave (6.544 preuzimanja)
Ovi paketi koriste hardkodirane Gmail akreditive za prijavu na SMTP server (smtp.gmail[.]com) i slanje poruke na drugu Gmail adresu kako bi signalizirali uspješan kompromis. Zatim uspostavljaju WebSocket konekciju za dvosmjernu komunikaciju s napadačem.
Napadači iskorištavaju povjerenje u Gmail domene i činjenicu da korporativni proksiji i sistemi zaštite na krajnjim tačkama rijetko prepoznaju takav promet kao sumnjiv, čime postižu visoku razinu prikrivenosti i pouzdanosti.
Od svih paketa, cfc-bsb se izdvaja jer ne uključuje Gmail funkcionalnost, ali sadrži WebSocket logiku za pristup na daljinu.
Preporuke za zaštitu od ovakvih prijetnji u lancu snabdijevanja uključuju:
- Provjeru autentičnosti paketa kroz istoriju izdavača i poveznice na GitHub repozitorije
- Redovno provođenje revizija zavisnosti
- Strogu kontrolu pristupa privatnim ključevima
„Obratite pažnju na neuobičajene odlazne konekcije, naročito SMTP promet, jer napadači mogu koristiti legitimne servise poput Gmaila za krađu osjetljivih podataka,“ rekla je istraživačica iz Socket-a, Olivia Brown. „Ne vjerujte paketu samo zato što postoji već nekoliko godina a da nije uklonjen.“
Izvor:The Hacker News
