От wget до Wipeout: Вредоносные модули Go получают разрушительную полезную нагрузку

security

Группа исследования угроз Socket выявила три вредоносных модуля Go, содержащих обфусцированные вредоносные программы, направленные на очистку дисков, что может привести к полной потере данных.

Описание

Эта скрытая и катастрофическая атака использовала обфускацию для доставки вредоносной полезной нагрузки, представляющей серьезную угрозу для разработчиков, использующих модули Go. Несмотря на популярность и гибкость экосистемы Go, злоумышленники используют ее открытость и отсутствие централизованного контроля для внедрения вредоносного кода.

Экосистема Go, насчитывающая более 2 миллионов модулей, позволяет разработчикам использовать публичные репозитории, однако это также создает уязвимости. Злоумышленники можут маскировать вредоносный код под популярные библиотеки, избегая централизованного контроля и используя недостатки проверки пространства имен. Также децентрализованная природа экосистемы Go способствует путанице и затрудняет идентификацию легитимных пакетов от вредоносных.

Три обнаруженных вредоносных модуля Go использовали сложную обфускацию для передачи и выполнения удаленной полезной нагрузки, направленной на целевые Linux-системы. Эти модули были обнаружены благодаря подозрительному поведению, что подтолкнуло к глубокому расследованию. Обнаруженные вредоносные команды, такие как wget и /bin/sh, позволяют злоумышленникам получать и выполнить разрушительные сценарии оболочки, направленные на серверы на базе Linux или среды разработчиков. Использование обфускации и децентрализации в экосистеме Go подчеркивает сложность борьбы с такими вредоносными атаками и необходимость усиления безопасности разработки и использования модулей.

Индикаторы компрометации

URLs

  • github.com/blankloggia/go-mcp
  • github.com/steelpoor/tlsproxy
  • github.com/truthfulpharm/prototransform
  • http://147.45.44.41/storage/de373d0df/ccd7b46d
  • https://kaspamirror.icu/storage/de373d0df/a31546bf
  • https://vanartest.website/storage/de373d0df/a31546bf
Комментарии: 0