Deep Web
Κακόβουλα Go Modules: Επίθεση με Διαγραφή Δίσκου σε Linux
Κακόβουλα Go modules διαγράφουν δίσκους Linux σε επιθέσεις αλυσίδας εφοδιασμού, με στόχο την αδυναμία ανάκτησης δεδομένων.>
ανακάλυψη κακόβουλων Go modules
Οι ερευνητές κυβερνοασφάλειας ανακάλυψαν τρία κακόβουλα Go modules που περιέχουν κώδικα με υψηλό βαθμό απόκρυψης. Ο σκοπός τους είναι να κατεβάσουν επόμενα στάδια επιθέσεων που μπορούν να διαγράψουν ολόκληρο τον κύριο δίσκο ενός συστήματος Linux, καθιστώντας το μη εκκινήσιμο. Οι ονομασίες των πακέτων είναι:
– github[.]com/truthfulpharm/prototransform
– github[.]com/blankloggia/go-mcp
– github[.]com/steelpoor/tlsproxy
Παρά την φαινομενική νομιμότητά τους, αυτά τα modules περιέχουν κώδικα που εκτελεί απομακρυσμένα payloads. Οι ερευνητές της Socket, και συγκεκριμένα ο Kush Pandya, ανέφεραν ότι αυτά τα πακέτα ελέγχουν αν το λειτουργικό σύστημα είναι Linux και στη συνέχεια χρησιμοποιούν το wget για να κατεβάσουν ένα καταστροφικό shell script.
καταστροφικό shell script
Το shell script που κατεβαίνει είναι σχεδιασμένο να διαγράφει ολόκληρο τον κύριο δίσκο (“/dev/sda”) με μηδενικά, αποτρέποντας την εκκίνηση του συστήματος. Αυτή η μέθοδος εξασφαλίζει ότι κανένα εργαλείο ανάκτησης δεδομένων ή διαδικασία εγκληματολογικής ανάλυσης δεν μπορεί να επαναφέρει τα δεδομένα, καθώς τα διαγράφει άμεσα και αμετάκλητα.
Ο Pandya τόνισε ότι αυτό το κακόβουλο script αφήνει τα στοχευμένα Linux servers ή περιβάλλοντα ανάπτυξης εντελώς ανενεργά, υπογραμμίζοντας τον ακραίο κίνδυνο που ενέχουν οι σύγχρονες επιθέσεις στην αλυσίδα εφοδιασμού. Αυτές οι επιθέσεις μπορούν να μετατρέψουν φαινομενικά αξιόπιστο κώδικα σε καταστροφικές απειλές.
επιθέσεις σε npm και PyPI
Η αποκάλυψη αυτή έρχεται καθώς έχουν εντοπιστεί πολλαπλά κακόβουλα npm πακέτα στο registry, τα οποία έχουν δυνατότητες να κλέψουν mnemonic seed φράσεις και ιδιωτικά κλειδιά κρυπτονομισμάτων και να εξάγουν ευαίσθητα δεδομένα. Τα πακέτα που αναγνωρίστηκαν από τις Socket, Sonatype και Fortinet περιλαμβάνουν:
– crypto-encrypt-ts
– react-native-scrollpageviewtest
– bankingbundleserv
– buttonfactoryserv-paypal
– tommyboytesting
– compliancereadserv-paypal
– oauth2-paypal
– paymentapiplatformservice-paypal
– userbridge-paypal
– userrelationship-paypal
Επιπλέον, κακόβουλα πακέτα που στοχεύουν πορτοφόλια κρυπτονομισμάτων έχουν βρεθεί και στο αποθετήριο Python Package Index (PyPI), όπως τα web3x και herewalletbot, με δυνατότητες να αποσπούν mnemonic seed φράσεις. Αυτά τα πακέτα έχουν κατέβει συνολικά περισσότερες από 6.800 φορές από το 2024.
χρήση του Gmail για απόκρυψη
Ένα άλλο σύνολο επτά PyPI πακέτων έχει βρεθεί να χρησιμοποιεί τους SMTP servers του Gmail και WebSockets για εξαγωγή δεδομένων και απομακρυσμένη εκτέλεση εντολών, σε μια προσπάθεια να αποφύγουν την ανίχνευση. Τα πακέτα, που έχουν πλέον αφαιρεθεί, είναι:
– cfc-bsb (2,913 λήψεις)
– coffin2022 (6,571 λήψεις)
– coffin-codes-2022 (18,126 λήψεις)
– coffin-codes-net (6,144 λήψεις)
– coffin-codes-net2 (6,238 λήψεις)
– coffin-codes-pro (9,012 λήψεις)
– coffin-grave (6,544 λήψεις)
Αυτά τα πακέτα χρησιμοποιούν σκληρά κωδικοποιημένα διαπιστευτήρια λογαριασμών Gmail για να συνδεθούν στον SMTP server της υπηρεσίας και να στείλουν ένα μήνυμα σε άλλη διεύθυνση Gmail, σηματοδοτώντας μια επιτυχημένη παραβίαση. Στη συνέχεια, δημιουργούν μια σύνδεση WebSocket για να εγκαθιδρύσουν ένα δίαυλο επικοινωνίας με τον επιτιθέμενο.
αξιοποίηση εμπιστοσύνης και προτάσεις προστασίας
Οι επιτιθέμενοι εκμεταλλεύονται την εμπιστοσύνη που συνδέεται με τα domains του Gmail (“smtp.gmail[.]com”) και το γεγονός ότι οι εταιρικοί proxies και τα συστήματα προστασίας τερματικών είναι απίθανο να το θεωρήσουν ύποπτο, καθιστώντας το τόσο κρυφό όσο και αξιόπιστο. Το πακέτο που ξεχωρίζει είναι το cfc-bsb, το οποίο δεν περιλαμβάνει τη λειτουργία σχετική με το Gmail, αλλά ενσωματώνει τη λογική των WebSockets για διευκόλυνση απομακρυσμένης πρόσβασης.
Για να μετριαστεί ο κίνδυνος από τέτοιες απειλές στην αλυσίδα εφοδιασμού, οι προγραμματιστές συνιστάται να επαληθεύουν την αυθεντικότητα των πακέτων ελέγχοντας το ιστορικό εκδόσεων και τους συνδέσμους αποθετηρίων στο GitHub. Επίσης, πρέπει να ελέγχουν τακτικά τις εξαρτήσεις και να επιβάλλουν αυστηρούς ελέγχους πρόσβασης σε ιδιωτικά κλειδιά.
Η Olivia Brown από τη Socket προειδοποιεί να παρακολουθούνται ασυνήθιστες εξερχόμενες συνδέσεις, ειδικά η κίνηση SMTP, καθώς οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν νόμιμες υπηρεσίες όπως το Gmail για να κλέψουν ευαίσθητα δεδομένα. “Μην εμπιστεύεστε ένα πακέτο μόνο επειδή υπάρχει για περισσότερα από μερικά χρόνια χωρίς να έχει αφαιρεθεί,” πρόσθεσε.
< <
