Cybersecurity-onderzoekers hebben drie kwaadaardige GO-modules ontdekt die verdoezelde code bevatten om de volgende fase payloads op te halen die de primaire schijf van een Linux-systeem onherroepelijk kunnen overschrijven en het niet opstarten.
De namen van de pakketten worden hieronder vermeld –
- GitHub (.) Com/TruthfulPharm/Prototransform
- GitHub (.) Com/Blankloggia/Go-MCP
- GitHub (.) Com/Steelpoor/TLSProxy
“Ondanks het feit dat ze legitiem lijken, bevatten deze modules sterk verdoezelde code die is ontworpen om externe ladingen op afstand op te halen en uit te voeren,” zei Socket -onderzoeker Kush Pandya.
De pakketten zijn ontworpen om te controleren of het besturingssysteem waarop ze worden uitgevoerd Linux is, en als u een payload op de volgende fase ophalen van een externe server met WGET.
De payload is een destructief shell -script dat de gehele primaire schijf (“/dev/sda”) overschrijft met nullen, waardoor de machine effectief kan opstarten.
“Deze destructieve methode zorgt ervoor dat geen tool voor gegevensherstel of forensisch proces de gegevens kan herstellen, omdat deze direct en onomkeerbaar overschrijft,” zei Pandya.
“Dit kwaadaardige script laat gerichte Linux-servers of ontwikkelaaromgevingen volledig kreupel, en benadrukt het extreme gevaar van moderne supply-chain-aanvallen die schijnbaar vertrouwde code in verwoestende bedreigingen kunnen veranderen.”
De openbaarmaking komt omdat meerdere kwaadaardige NPM -pakketten in het register zijn geïdentificeerd met functies om mnemonische zaadzinnen en private cryptocurrency -toetsen en exfiltraatgevoelige gegevens te stelen. De lijst van de pakketten, geïdentificeerd door Socket, Sonatype en Fortinet is hieronder –
- Crypto-Encrypt-TS
- react-native-scrollpageViewtest
- Bankingbundleserv
- ButtonFactoryServ-Paypal
- Tommyboytesting
- CompliancerEadserv-Paypal
- OAuth2-Paypal
- PayageApiplatFormService-paypal
- userbridge-paypal
- Userrelationship-paypal
Pakketten met malware-geregen op cryptocurrency-portefeuilles zijn ook ontdekt in de Python Package Index (PYPI) -repository-Web3X en HerwalletBot-met mogelijkheden om Mnemonic Seed-zinnen te overhevelen. Deze pakketten zijn gezamenlijk meer dan 6.800 keer gedownload sinds hij in 2024 werd gepubliceerd.
Er is een andere set van zeven PYPI -pakketten gevonden die Gmail’s SMTP -servers en websockets voor gegevensuitvoering en externe opdrachtuitvoering in een poging om detectie te ontwijken gebruik te maken. De pakketten, die sindsdien zijn verwijderd, zijn als volgt –
- CFC-BSB (2.913 downloads)
- Coffin2022 (6.571 downloads)
- Coffin-Codes-2022 (18,126 downloads)
- Coffin-Codes-Net (6.144 downloads)
- Coffin-Codes-Net2 (6.238 downloads)
- Coffin-codes-pro (9.012 downloads)
- Coffin-Grave (6.544 downloads)
De pakketten gebruiken hardgecodeerde Gmail-accountgegevens om in te loggen bij de SMTP-server van de Service en een bericht naar een ander Gmail-adres te sturen om een succesvol compromis aan te geven. Ze leggen vervolgens een WebSocket -verbinding tot stand om een bidirectioneel communicatiekanaal met de aanvaller op te zetten.
De dreigingsactoren maken gebruik van het vertrouwen dat verband houdt met Gmail -domeinen (“SMTP.Gmail (.) Com”) en het feit dat bedrijfsproxy’s en eindpuntbeveiligingssystemen het waarschijnlijk niet als verdacht zijn, waardoor het zowel heimelijk als betrouwbaar wordt.
Het pakket dat afgezien van de rest is CFC-BSB, dat de Gmail-gerelateerde functionaliteit mist, maar de WebSocket-logica opneemt om externe toegang te vergemakkelijken.
Om het risico van dergelijke supply chain -bedreigingen te verminderen, wordt ontwikkelaars geadviseerd om de authenticiteit van de pakket te verifiëren door de geschiedenis van de uitgever en Github Repository -links te controleren; Auditafhankelijkheid regelmatig; en handhaven strikte toegangscontroles op privésleutels.
“Let op ongebruikelijke uitgaande verbindingen, met name SMTP -verkeer, omdat aanvallers legitieme diensten zoals Gmail kunnen gebruiken om gevoelige gegevens te stelen,” zei Socket -onderzoeker Olivia Brown. “Vertrouw geen pakket niet alleen omdat het al meer dan een paar jaar bestaat zonder te worden neergehaald.”
