Los investigadores de ciberseguridad han descubierto tres módulos de GO maliciosos que incluyen un código ofuscado para obtener cargas enseres de la próxima etapa que pueden sobrescribir irrevocablemente sobrescribir el disco primario de un sistema Linux y hacer que no sean inquietables.
Los nombres de los paquetes se enumeran a continuación –
- GitHub (.) COM/AHERRYPHARM/PROTOTRANSFORMA
- GitHub (.) COM/BlankLoggia/Go-MCP
- GitHub (.) COM/Steelpoor/TLSProxy
«A pesar de aparecer legítimos, estos módulos contenían un código en gran medida ofuscado diseñado para obtener y ejecutar cargas remotas», dijo el investigador de Socket Kush Pandya.
Los paquetes están diseñados para compulsar si el sistema eficaz en el que se están ejecutando es Linux, y si es así, recupere una carga útil de la próxima etapa de un servidor remoto usando WGET.
La carga útil es un script de shell destructivo que sobrescribe todo el disco primario («/dev/sda») con ceros, evitando efectivamente que la máquina se inicie.
«Este método destructivo garantiza que ninguna utensilio de recuperación de datos o un proceso forense puedan restaurar los datos, ya que lo sobrescribe directa e irreversiblemente», dijo Pandya.
«Este script zorro deja servidores de Linux específicos o entornos de desarrolladores completamente lisiados, destacando el peligro extremo planteado por los ataques modernos de la prisión de suministro que pueden convertir el código aparentemente confiable en amenazas devastadoras».
La divulgación se produce cuando se han identificado múltiples paquetes de NPM maliciosos en el registro con características para robar frases de semillas mnemónicas y claves de criptomonedas privadas y exfiltrados datos sensibles. La índice de los paquetes, identificados por Socket, Sonatype y Fortinet, está a continuación –
- cripto-riprypt-ts
- react-nativo-scrollpageViewTest
- BankingBundleserv
- buttonfactoryserv-paypal
- Tommyboytesting
- cumplimiento de la persona
- OAUTH2-PAYPAL
- paypiplatformservice-paypal
- userbridge-paypal
- userrelationship-paypal
Los paquetes con malware dirigidos a billeteras de criptomonedas incluso se han descubierto en el repositorio del índice de paquetes de Python (PYPI)-Web3x y HerewalletBot-con capacidades para desviar frases de semillas mnemónicas. Estos paquetes se han descargado colectivamente más de 6.800 veces desde que se publicaron en 2024.
Se han antitético otro conjunto de siete paquetes PYPI aprovechando los servidores SMTP de Gmail y WebSockets para exfiltración de datos y ejecución de comandos remotos en un intento de evitar la detección. Los paquetes, que desde entonces se han eliminado, son los siguientes –
- CFC-BSB (2,913 descargas)
- Coffin2022 (6,571 descargas)
- Coffin-codes-2022 (18,126 descargas)
- Coffin-codes-net (6,144 descargas)
- Coffin-codes-net2 (6.238 descargas)
- Coffin-codes-pro (9.012 descargas)
- Agonizante de féretro (6,544 descargas)
Los paquetes usan credenciales de cuenta de Gmail codificadas para iniciar sesión en el servidor SMTP del servicio y cursar un mensaje a otra dirección de Gmail para indicar un compromiso exitoso. Después establecen una conexión WebSocket para establecer un canal de comunicación bidireccional con el atacante.
Los actores de amenaza aprovechan la confianza asociada con los dominios de Gmail («Smtp.gmail (.) Com») y el hecho de que los representantes corporativos y los sistemas de protección de punto final es poco probable que lo marquen como sospechoso, lo que lo convierte en sigiloso y confiable.
El paquete que excepto del resto es CFC-BSB, que carece de la funcionalidad relacionada con Gmail, pero incorpora la método de WebSocket para entregar el golpe remoto.
Para mitigar el peligro planteado por tales amenazas de la prisión de suministro, se aconseja a los desarrolladores que verifiquen la autenticidad del paquete mediante la comprobación del historial del editor y los enlaces de repositorio de GitHub; dependencias de auditoría regularmente; y aplique estrictos controles de golpe en claves privadas.
«Esté atento a las conexiones de salida inusuales, especialmente el tráfico SMTP, ya que los atacantes pueden usar servicios legítimos como Gmail para robar datos confidenciales», dijo la investigadora de socket Olivia Brown. «No confíe en un paquete sólo porque ha existido durante más de unos pocos primaveras sin ser eliminado».
