Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Schädliche Go-Module verbreiten datenträgerlöschende...

Schädliche Go-Module verbreiten datenträgerlöschende Linux-Malware

Von Mezo in Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben kürzlich drei schädliche Go-Module entdeckt, die verschleierten Code verwenden, um unsichere Payloads abzurufen, die Linux-Systeme irreversibel beschädigen können. Diese Module scheinen legitim zu sein, sind aber darauf ausgelegt, Remote-Payloads auszuführen, die die primäre Festplatte eines Systems löschen und es dadurch unbootfähig machen.

Identifizierte unsichere Go-Pakete

Die folgenden Go-Module sind betroffen:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Diese Pakete enthalten stark verschleierten Code, der so konzipiert ist, dass er Nutzdaten herunterlädt und ausführt, wenn er auf einem Linux-System ausgeführt wird.

Destruktive Payloads überschreiben kritische Daten auf der Festplatte

Der beschädigte Code sucht nach einem Linux-Betriebssystem und ruft, falls erkannt, mithilfe von wget eine Nutzlast der nächsten Stufe von einem Remote-Server ab. Diese Nutzlast ist ein destruktives Shell-Skript, das die primäre Festplatte des Systems (/dev/sda) mit Nullen überschreibt. Dadurch ist das System nicht mehr bootfähig, und keine Datenwiederherstellungstools oder forensischen Prozesse können die verlorenen Informationen wiederherstellen, da die Festplatte unwiderruflich zerstört ist. Diese Methode verdeutlicht die extremen Risiken von Supply-Chain-Angriffen, bei denen legitimer Code katastrophale Schäden an Linux-Servern und Entwicklerumgebungen verursachen kann.

Wachsende Bedrohung durch betrügerische npm-Pakete

Neben der Entdeckung unsicherer Go-Module wurden auch mehrere schädliche npm-Pakete entdeckt. Diese Pakete sind darauf ausgelegt, sensible Informationen abzugreifen, darunter mnemonische Seed-Phrasen und private Kryptowährungsschlüssel, was zum Diebstahl digitaler Vermögenswerte der Benutzer führen kann.

Verdächtige npm-Pakete identifiziert

Die folgenden npm-Pakete wurden als manipuliert gekennzeichnet:

  • Krypto-Verschlüsselung-TS
  • React-Native-Scrollpageviewtest
  • Bankingbundleserv
  • buttonfactoryserv-paypal
  • Tommy Boy Test
  • ComplianceReadServ-Paypal
  • oauth2-paypal
  • ZahlungAPIPlattformService-PayPal
  • userbridge-paypal
  • Benutzerbeziehung-PayPal

Diese Pakete sind bösartig gestaltet, um vertrauliche Informationen abzugreifen und stellen eine massive Bedrohung für die Privatsphäre und Sicherheit der Benutzer dar.

Mit Malware beladene PyPI-Pakete sammeln Kryptowährungsdaten

Auch im Python Package Index (PyPI)-Repository ist die Zahl kompromittierter Pakete gestiegen, die auf Kryptowährungs-Wallets abzielen. Diese Pakete wurden seit ihrer Veröffentlichung im Jahr 2024 über 6.800 Mal heruntergeladen und sind darauf ausgelegt, mnemonische Seed-Phrasen zu stehlen und so die Kryptowährungsbestände der Benutzer zu kompromittieren.

Bemerkenswerte unsichere PyPI-Pakete

Zwei wichtige Pakete für Kryptowährungs-Wallets sind:

  • web3x
  • herewalletbot

Diese Pakete zielen darauf ab, den Nutzern mnemonische Seed-Phrasen zu entlocken und so ihre digitalen Assets zu gefährden. Darüber hinaus wurde ein weiterer Satz von sieben PyPI-Paketen entdeckt, die inzwischen entfernt wurden. Sie nutzten die SMTP-Server und WebSockets von Gmail, um Daten abzugreifen und Fernzugriff zu ermöglichen.

Gmail-basierte Datenexfiltration und Remote-Befehlsausführung

Die unsicheren PyPI-Pakete verwenden fest codierte Gmail-Anmeldeinformationen, um sich beim SMTP-Server von Gmail anzumelden und eine Nachricht an eine andere Gmail-Adresse zu senden, um einen erfolgreichen Angriff anzuzeigen. Anschließend wird eine WebSocket-Verbindung hergestellt, die es dem Angreifer ermöglicht, bidirektional mit dem kompromittierten System zu kommunizieren.

Durch die Verwendung von Gmail-Domänen (smtp.gmail.com) werden diese Angriffe verdeckter, da sie aufgrund des Vertrauens, das den Gmail-Diensten entgegengebracht wird, von Unternehmens-Proxys und Endpunktschutzsystemen weniger wahrscheinlich als verdächtig eingestuft werden.

Herausragendes Paket: cfc-bsb

Das Paket cfc-bsb ist bemerkenswert, da es keine Gmail-Funktionalität bietet, sondern stattdessen WebSocket-Logik verwendet, um den Fernzugriff zu erleichtern und herkömmliche Erkennungsmaßnahmen zu umgehen.

So minimieren Sie Bedrohungen in der Lieferkette

Zum Schutz vor diesen schädlichen Paketen und anderen Bedrohungen in der Lieferkette sollten Entwickler die folgenden Vorgehensweisen anwenden:

  • Paketauthentizität überprüfen : Überprüfen Sie den Verlauf des Herausgebers und die Links zum GitHub-Repository, um die Legitimität des Pakets sicherzustellen.
  • Überprüfen Sie Abhängigkeiten regelmäßig : Überprüfen Sie Abhängigkeiten routinemäßig und stellen Sie sicher, dass sie aktuell und frei von Schadcode sind.
  • Erzwingen Sie strenge Zugriffskontrollen : Implementieren Sie strenge Zugriffskontrollmechanismen, um private Schlüssel und andere vertrauliche Anmeldeinformationen zu schützen.

Entwickler sollten außerdem auf ungewöhnliche ausgehende Verbindungen, insbesondere SMTP-Verkehr, achten, da Angreifer legitime Dienste wie Gmail zur Datenexfiltration nutzen könnten. Es ist außerdem wichtig, einem Paket nicht nur deshalb zu vertrauen, weil es schon lange existiert und nicht entfernt wurde, da dies unsichere Aktivitäten verschleiern könnte.

Im Trend

Am häufigsten gesehen

Wird geladen...