Kenkėjiški „Go“ moduliai sukelia kenkėjiškas programas „Linux Wiper“ platformoje

Kibernetinio saugumo analitikai atskleidė nerimą keliančią tendenciją programinės įrangos tiekimo grandinėje: kenkėjiškų „Go“ modulių, skirtų tyliai vykdyti niokojančias atakas prieš „Linux“ sistemas, infiltraciją. Nors šie paketai iš pirmo žvilgsnio atrodė patikimi, juose slėpėsi labai užmaskuotas kodas, galintis atsisiųsti antrinę informaciją, kuri paveiktas sistemas paverčia nebenaudojamomis.

Kaltininkas? Naujai identifikuota „Linux“ pagrindu sukurta kenkėjiška programa „wiper“ – tai kenkėjiška programinė įranga, sukurta ne tam, kad vogtų duomenis, o tam, kad juos sunaikintų negrįžtamai.

Atakos anatomija

Ataka prasideda nuo, regis, nekenksmingų „Go“ modulių , saugomų viešosiose saugyklose, įdiegimo. Tyrėjai pažymėjo tris tokius paketus:

  • github.com/truthfulpharm/prototransform
  • github.com/blankloggia/go-mcp
  • github.com/steelpoor/tlsproxy

Įdiegę modulius, jie atlieka keletą patikrinimų, kad nustatytų pagrindinę operacinę sistemą. Jei tikslinė sistema naudoja „Linux“, modulis tyliai nuskaito apvalkalo scenarijų iš nuotolinio serverio naudodamas komandinės eilutės įrankį „wget“.

Šis atsisiųstas scenarijus ne tik ištrina failus – jis vykdo komandą, kuria visas pagrindinis sistemos diskas (dažniausiai /dev/sda ) perrašomas nuliais. Šis brutalus metodas užtikrina, kad kompiuteris nebegalės paleisti sistemos ir kad visi sistemoje buvę duomenys bus visam laikui sunaikinti, nepaliekant galimybės atkurti ar taisyti duomenų.

Kas yra valytuvo kenkėjiška programa?

Valytuvų kenkėjiška programa – tai kenkėjiškų programų klasė, skirta taip kruopščiai ištrinti arba sugadinti duomenis, kad jų atkurti tampa neįmanoma. Skirtingai nuo išpirkos reikalaujančių programų, kurios paprastai laiko duomenis įkaitais už atlygį, valytuvai nesiūlo duomenų atkūrimo galimybės – jų paskirtis – grynai destruktyvi.

Naujai atrastas „Linux“ valytuvas veikia taikydamasis į pagrindinį saugojimo diską ir jį perrašydamas žemu lygiu, faktiškai užblokuodamas sistemą. Nors valytuvo kenkėjiška programa tradiciškai buvo naudojama politiškai motyvuotose kibernetinėse atakose, jos diegimas naudojant kūrėjų įrankius ir modulius yra naujas ir pavojingas vektorius.

Platesnės implikacijos

Šioje atakoje panaudotų pažeistų „Go“ modulių naudojimas iliustruoja augančią programinės įrangos kūrimo riziką: tiekimo grandinės pažeidimą. Užpuolikams nebereikia ieškoti pažeidžiamumų jau baigtose programose; jie gali įterpti grėsmes į aukštesnę grandį, į paketus ir bibliotekas, kuriomis remiasi kūrėjai.

Šis incidentas nėra pavienis. Kitos programavimo ekosistemos susiduria su panašiomis problemomis. Pavyzdžiui, npm registre buvo identifikuoti kenkėjiški paketai, galintys pavogti kriptovaliutų piniginės prisijungimo duomenis ir kitą neskelbtiną informaciją. Kai kurie iš šių tikslinių modulių apgavo teisėtas paslaugas, tokias kaip „PayPal“, kad įgytų kūrėjų pasitikėjimą.

„Python Package Index“ (PyPI) taip pat susidūrė su grėsmėmis. Buvo nustatyta, kad keli neseniai pašalinti paketai išgavo duomenis naudodami „Gmail“ SMTP paslaugas ir užmezgė slaptus ryšio kanalus per „WebSockets“. Naudodami patikimus domenus, tokius kaip smtp.gmail.com, užpuolikai apeina daugelį įprastų aptikimo įrankių.

Ką tai reiškia kūrėjams ir organizacijoms

„Linux“ skirtos kenkėjiškos programos, skirtos „valytuvams“, aptikimas „Go“ moduliuose žymi rimtą pokytį. Tai ne atsitiktiniai sabotažo aktai; tai apgalvotos tiekimo grandinės atakos, kuriomis siekiama pakenkti pasitikėjimui plačiai naudojamais kūrimo įrankiais. Jei jos pasiteisina, jos gali be įspėjimo uždaryti ištisas serverių aplinkas ar kūrimo procesus.

Pasekmės neapsiriboja tiesiogine technine žala. Organizacijos susiduria su veiklos sutrikimais, galima reguliavimo institucijų kontrole ir pasitikėjimo praradimu tarp vartotojų bei partnerių. Tiek atvirojo kodo kūrėjams, tiek komerciniams kūrėjams net vieno kenkėjiško paketo įdiegimo į kodų bazę rizika gali būti katastrofiška.

Kaip apsiginti nuo tiekimo grandinės atakų

Siekdami apsisaugoti nuo šios kylančios grėsmės, kūrėjai ir saugumo komandos turėtų imtis aktyvių veiksmų:

  • Patikrinkite paketų kilmę : patikrinkite paketų prižiūrėtojų istoriją ir patikimumą kartu su susijusiomis „GitHub“ saugyklomis.
  • Priklausomybių stebėjimas : naudokite įrankius, kad reguliariai tikrintumėte trečiųjų šalių bibliotekas ir pažymėtumėte pasenusias ar įtartinas.
  • Apriboti teises : taikykite griežtas prieigos kontrolės priemones, ypač jūsų programose įterptoms kredencialams ar privatiems raktams.
  • Stebėkite neįprastą tinklo elgseną : atidžiai stebėkite netikėtus išeinančius ryšius, ypač tuos, kurie susiję su SMTP arba „WebSocket“ srautu.

Esmė

„Linux“ nukreiptos kenkėjiškos programos, įterptos į „Go“ modulius, atradimas yra žadinantis skambutis programinės įrangos pramonei. Užpuolikams nuolat tobulėjant, turi tobulėti ir kūrėjų bei organizacijų naudojamos gynybos strategijos. Budrumas, skaidrumas ir nuolatinis auditas nebėra pasirinktini dalykai – jie yra esminiai šiuolaikinės programinės įrangos saugumo ramsčiai.

Iki Willa m
May 7, 2025
Computer Security
Lietuvių
May 7, 2025
Computer Security

Populiarūs skelbimai

Kas yra OperaGXSetup.exe failas ir ar jis yra kenkėjiškas?

11 months atgal

Eporner.com ir kodėl per daug iššokančių langų yra rizikinga

20 days atgal

„HackTool“: „Win32“ / „Crack“: kenkėjiška grėsmė, galinti...

7 months atgal

Supraskite ir sumažinkite W32.AIDetectMalware grėsmę

10 months atgal

Kas yra Packunwan Trojos arklio grėsmė ir kaip ji gali...

11 months atgal

Kodėl vartotojai nustemba savo kompiuteriuose radę...

2 months atgal
Lietuvių
Įkeliama ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Namai

Products

Cyclonis Password Manager Cyclonis World Time

Palaikymas

Help Files DUK Downloads Inquiries & Support

Bendrovė

Apie mus Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privatumo politika Slapukų politika Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

„Windows“ yra „Microsoft“ prekės ženklas, registruotas JAV ir kitose šalyse.
„Mac“, „iPhone“, „iPad“ ir „App Store“ yra „Apple Inc.“ prekių ženklai, registruoti JAV ir kitose šalyse.
„iOS“ yra registruotas „Cisco Systems, Inc.“ ir (arba) jos filialų JAV ir tam tikrose kitose šalyse prekės ženklas.
„Android“ ir „Google Play“ yra „Google LLC“ prekių ženklai.