Peneliti cybersecurity telah menemukan tiga modul GO berbahaya yang mencakup kode yang dikaburkan untuk mengambil muatan tahap berikutnya yang dapat menimpa disk utama sistem Linux dan menjadikannya tidak dapat di-boot.
Nama -nama paket tercantum di bawah ini –
- GitHub[.]com/jujurpharm/prototransform
- GitHub[.]com/blankloggia/go-mcp
- GitHub[.]com/steelpoor/tlsproxy
“Meskipun tampak sah, modul -modul ini berisi kode yang sangat dikaburkan yang dirancang untuk mengambil dan menjalankan muatan jarak jauh,” kata peneliti soket Kush Pandya.
Paket dirancang untuk memeriksa apakah sistem operasi yang sedang dijalankan adalah Linux, dan jika demikian ambil muatan tahap berikutnya dari server jarak jauh menggunakan WGET.
Payload adalah skrip shell destruktif yang menimpa seluruh disk utama (“/dev/sda”) dengan nol, secara efektif mencegah mesin booting.
“Metode destruktif ini memastikan tidak ada alat pemulihan data atau proses forensik yang dapat mengembalikan data, karena secara langsung dan tidak dapat dikembalikan menimpanya,” kata Pandya.
“Skrip jahat ini meninggalkan server Linux yang ditargetkan atau lingkungan pengembang yang sepenuhnya lumpuh, menyoroti bahaya ekstrem yang ditimbulkan oleh serangan rantai pasokan modern yang dapat mengubah kode yang tampaknya tepercaya menjadi ancaman yang menghancurkan.”
Pengungkapan ini datang karena beberapa paket NPM berbahaya telah diidentifikasi dalam registri dengan fitur untuk mencuri frasa benih mnemonik dan kunci cryptocurrency pribadi dan data sensitif eksfiltrat. Daftar paket, diidentifikasi oleh Socket, Sonatype, dan Fortinet di bawah ini –
- Crypto-encrypt-ts
- react-native-scrollpageViewTest
- BankingBundleserv
- TombolfactoryServ-paypal
- Tommyboytesting
- complancereadserv-paypal
- OAuth2-Paypal
- PAYACIPIPlatformService-paypal
- UserBridge-Paypal
- Userrelationship-paypal
Paket malware yang menargetkan dompet cryptocurrency juga telah ditemukan di repositori Python Package Index (PYPI)-Web3X dan HerewalletBot-dengan kemampuan untuk menghargai frasa benih mnemonik. Paket -paket ini telah diunduh secara kolektif lebih dari 6.800 kali sejak diterbitkan pada tahun 2024.
Set tujuh paket PYPI lainnya telah ditemukan memanfaatkan server SMTP dan websockets Gmail untuk exfiltration data dan eksekusi perintah jarak jauh dalam upaya untuk menghindari deteksi. Paket, yang sejak itu telah dihapus, adalah sebagai berikut –
- CFC-BSB (2.913 unduhan)
- Coffin2022 (6.571 unduhan)
- Coffin-Codes-2022 (18.126 unduhan)
- coffin-codes-net (6.144 unduhan)
- Coffin-Codes-Net2 (6.238 unduhan)
- Coffin-Codes-Pro (9.012 unduhan)
- Coffin-Grave (6.544 unduhan)
Paket menggunakan kredensial akun Gmail yang dikodekan untuk masuk ke server SMTP layanan dan mengirim pesan ke alamat Gmail lain untuk menandakan kompromi yang berhasil. Mereka kemudian membuat koneksi WebSocket untuk membuat saluran komunikasi dua arah dengan penyerang.
Aktor ancaman memanfaatkan kepercayaan yang terkait dengan domain Gmail (“smtp.gmail[.]com “) dan fakta bahwa proxy perusahaan dan sistem perlindungan titik akhir tidak mungkin menandai itu sebagai mencurigakan, menjadikannya sembunyi -sembunyi dan dapat diandalkan.
Paket yang terlepas dari yang lain adalah CFC-BSB, yang tidak memiliki fungsionalitas terkait Gmail, tetapi menggabungkan logika WebSocket untuk memfasilitasi akses jarak jauh.
Untuk mengurangi risiko yang ditimbulkan oleh ancaman rantai pasokan seperti itu, pengembang disarankan untuk memverifikasi keaslian paket dengan memeriksa sejarah penerbit dan tautan repositori GitHub; Ketergantungan audit secara teratur; dan menegakkan kontrol akses yang ketat pada kunci pribadi.
“Perhatikan koneksi keluar yang tidak biasa, terutama lalu lintas SMTP, karena penyerang dapat menggunakan layanan yang sah seperti Gmail untuk mencuri data sensitif,” kata peneliti Socket Olivia Brown. “Jangan mempercayai paket semata -mata karena sudah ada selama lebih dari beberapa tahun tanpa diturunkan.”
