Группа исследования угроз Socket выявила три вредоносных модуля Go, содержащих обфусцированные вредоносные программы, направленные на очистку дисков, что может привести к полной потере данных.
Описание
Эта скрытая и катастрофическая атака использовала обфускацию для доставки вредоносной полезной нагрузки, представляющей серьезную угрозу для разработчиков, использующих модули Go. Несмотря на популярность и гибкость экосистемы Go, злоумышленники используют ее открытость и отсутствие централизованного контроля для внедрения вредоносного кода.
Экосистема Go, насчитывающая более 2 миллионов модулей, позволяет разработчикам использовать публичные репозитории, однако это также создает уязвимости. Злоумышленники можут маскировать вредоносный код под популярные библиотеки, избегая централизованного контроля и используя недостатки проверки пространства имен. Также децентрализованная природа экосистемы Go способствует путанице и затрудняет идентификацию легитимных пакетов от вредоносных.
Три обнаруженных вредоносных модуля Go использовали сложную обфускацию для передачи и выполнения удаленной полезной нагрузки, направленной на целевые Linux-системы. Эти модули были обнаружены благодаря подозрительному поведению, что подтолкнуло к глубокому расследованию. Обнаруженные вредоносные команды, такие как wget и /bin/sh, позволяют злоумышленникам получать и выполнить разрушительные сценарии оболочки, направленные на серверы на базе Linux или среды разработчиков. Использование обфускации и децентрализации в экосистеме Go подчеркивает сложность борьбы с такими вредоносными атаками и необходимость усиления безопасности разработки и использования модулей.
Индикаторы компрометации
URLs
- github.com/blankloggia/go-mcp
- github.com/steelpoor/tlsproxy
- github.com/truthfulpharm/prototransform
- http://147.45.44.41/storage/de373d0df/ccd7b46d
- https://kaspamirror.icu/storage/de373d0df/a31546bf
- https://vanartest.website/storage/de373d0df/a31546bf