Ερευνητές κυβερνοασφάλειας ανακάλυψαν τρεις κακόβουλες βιβλιοθήκες Go, οι οποίες περιέχουν κώδικα που κατεβάζει malware, το οποίο μπορεί να καταστρέψει ανεπανόρθωτα τον κύριο δίσκο ενός συστήματος Linux, καθιστώντας το μη εκκινήσιμο.
Δείτε επίσης: Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
Τα ονόματα των πακέτων είναι τα εξής:
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
Τα πακέτα αυτά είναι σχεδιασμένα ώστε να ελέγχουν αν το λειτουργικό σύστημα στο οποίο εκτελούνται είναι Linux και εφόσον αυτό ισχύει, να κατεβάζουν ένα δεύτερο επιβλαβές αρχείο από απομακρυσμένο διακομιστή μέσω της εντολής wget. Το επιβλαβές αυτό αρχείο είναι ένα καταστροφικό shell script, το οποίο διαγράφει ολόκληρο τον κύριο δίσκο (“/dev/sda”) γράφοντας μηδενικά, εμποδίζοντας έτσι την επανεκκίνηση του συστήματος.
Η αποκάλυψη αυτή έρχεται καθώς έχουν εντοπιστεί πολλά κακόβουλα πακέτα npm στο επίσημο μητρώο, τα οποία περιέχουν λειτουργίες για την κλοπή φράσεων ανάκτησης (mnemonic seed phrases), ιδιωτικών κλειδιών κρυπτονομισμάτων και την εξαγωγή ευαίσθητων δεδομένων. Η λίστα με τα πακέτα αυτά, τα οποία εντοπίστηκαν από τις Socket, Sonatype και Fortinet, παρατίθεται παρακάτω:
- crypto-encrypt-ts
- react-native-scrollpageviewtest
- bankingbundleserv
- buttonfactoryserv-paypal
- tommyboytesting
- compliancereadserv-paypal
- oauth2-paypal
- paymentapiplatformservice-paypal
- userbridge-paypal
- userrelationship-paypal
Κακόβουλα πακέτα με στόχο πορτοφόλια κρυπτονομισμάτων έχουν επίσης εντοπιστεί και στο αποθετήριο Python Package Index (PyPI) – συγκεκριμένα τα web3x και herewalletbot – τα οποία διαθέτουν δυνατότητες για την υποκλοπή φράσεων ανάκτησης. Τα πακέτα αυτά έχουν συνολικά ληφθεί πάνω από 6.800 φορές από τη δημοσίευσή τους το 2024.
Δείτε ακόμα: Το νέο Linux Ransomware της Akira επιτίθεται σε VMware ESXi servers
Ένα επιπλέον σύνολο επτά πακέτων PyPI βρέθηκε να χρησιμοποιεί τους SMTP διακομιστές των Gmail και WebSockets για την εξαγωγή δεδομένων και την απομακρυσμένη εκτέλεση εντολών, σε μια προσπάθεια να αποφύγουν την ανίχνευση. Τα συγκεκριμένα πακέτα έχουν πλέον αφαιρεθεί και είναι τα εξής:
- cfc-bsb (2,913 downloads)
- coffin2022 (6,571 downloads)
- coffin-codes-2022 (18,126 downloads)
- coffin-codes-net (6,144 downloads)
- coffin-codes-net2 (6,238 downloads)
- coffin-codes-pro (9,012 downloads)
- coffin-grave (6,544 downloads)
Τα πακέτα χρησιμοποιούν hardcoded διαπιστευτήρια λογαριασμών Gmail για να συνδεθούν με τον SMTP διακομιστή της υπηρεσίας και να στείλουν ένα μήνυμα σε άλλη διεύθυνση Gmail, ειδοποιώντας για την επιτυχή παραβίαση του συστήματος. Στη συνέχεια, δημιουργούν σύνδεση WebSocket για να εγκαθιδρύσουν ένα αμφίδρομο κανάλι επικοινωνίας με τον επιτιθέμενο.
Οι κακόβουλοι παράγοντες εκμεταλλεύονται την εμπιστοσύνη που συνδέεται με τα domains του Gmail (“smtp.gmail[.]com”), καθώς και το γεγονός ότι οι εταιρικοί proxy servers και τα συστήματα προστασίας τερματικών συσκευών σπανίως θεωρούν τέτοια κυκλοφορία ύποπτη — κάτι που καθιστά την επίθεση ιδιαίτερα διακριτική και αξιόπιστη.
Δείτε επίσης: Η CISA πρόσθεσε ευπάθεια του Linux kernel στον Κατάλογο KEV
Για τη μείωση του κινδύνου από τέτοιες επιθέσεις στην εφοδιαστική αλυσίδα λογισμικού, συνιστάται στους προγραμματιστές να:
- Επαληθεύουν τη γνησιότητα των πακέτων ελέγχοντας το ιστορικό του εκδότη και τα συνδεδεμένα GitHub αποθετήρια,
- Ελέγχουν τακτικά τις εξαρτήσεις των έργων τους,
- Επιβάλλουν αυστηρούς κανόνες πρόσβασης στα ιδιωτικά κλειδιά.
Πηγή: thehackernews
