惡意 Go 模組引進 Linux Wiper 惡意軟體

網路安全分析師發現了軟體供應鏈中一個令人擔憂的趨勢：惡意 Go 模組的滲透，旨在悄悄地對Linux系統發動毀滅性的攻擊。雖然這些軟體包乍看之下似乎可信，但它們隱藏了高度混淆的程式碼，能夠下載輔助有效載荷，導致受影響的系統永久無法使用。

罪魁禍首？一種新發現的基於 Linux 的擦除惡意軟體 - 一種破壞性軟體，其目的不是竊取數據，而是將其徹底摧毀，無法恢復。

攻擊剖析

攻擊始於安裝公共儲存庫中託管的看似無害的Go 模組。研究人員已經標記了三個這樣的軟體包：

• github.com/truthfulpharm/prototransform
• github.com/blankloggia/go-mcp
• github.com/steelpoor/tlsproxy

安裝後，模組將執行一系列檢查來確定主機作業系統。如果目標正在執行 Linux，則該模組會使用命令列工具 wget 從遠端伺服器悄悄擷取 shell 腳本。

這個下載的腳本不僅僅是刪除檔案 - 它還執行命令用零覆蓋系統的整個主磁碟（通常為/dev/sda ）。這種野蠻的做法會導致機器無法啟動，並且系統上保存的任何資料都會被永久銷毀，不留任何法醫恢復或修復的餘地。

什麼是 Wiper 惡意軟體？

Wiper 惡意軟體是一類惡意軟體，其目的是徹底刪除或破壞數據，使之無法復原。與通常劫持資料以索要贖金的勒索軟體不同，擦除器不提供資料復原選項——其目的純粹是破壞性的。

新發現的 Linux 擦除器透過瞄準主儲存磁碟並在低層級對其進行覆蓋來運行，從而有效地破壞系統。雖然擦除惡意軟體傳統上被用於出於政治動機的網路攻擊，但透過開發人員工具和模組部署它代表了一種新的危險載體。

更廣泛的影響

此次攻擊中使用受損的 Go 模組顯示軟體開發中的風險日益增加：供應鏈受損。攻擊者不再需要在已完成的應用程式中尋找漏洞；他們可以將威脅嵌入到上游，即開發人員所依賴的套件和庫中。

此類事件並非個案。其他程式生態系統也面臨類似的問題。例如，在 npm 註冊表中發現了惡意包，它具有竊取加密貨幣錢包憑證和其他敏感資訊的功能。其中一些目標模組模仿了 PayPal 等合法服務，以獲取開發人員的信任。

Python 軟體包索引 (PyPI)也遭遇了威脅。發現最近刪除的幾個軟體包使用 Gmail 的 SMTP 服務竊取資料並透過 WebSockets 建立隱藏的通訊管道。透過使用 smtp.gmail.com 等受信任的域名，攻擊者可以逃避許多常見的偵測工具。

這對開發人員和組織意味著什麼

在 Go 模組中發現針對 Linux 的擦除惡意軟體標誌著一個令人警惕的轉變。這些並不是隨機的破壞行為；它們是經過精心策劃的供應鏈攻擊，旨在破壞對廣泛使用的開發工具的信任。如果成功，他們可以在沒有任何警告的情況下關閉整個伺服器環境或開發管道。

其影響不僅限於直接的技術損害。組織面臨營運中斷、潛在的監管審查以及用戶和合作夥伴之間信任的喪失。對於開源維護者和商業開發人員來說，即使將惡意套件引入程式碼庫的風險也可能是災難性的。

如何防禦供應鏈攻擊

為了防範這種新興的威脅情勢，開發人員和安全團隊應該採取主動措施：

• 驗證套件來源：檢查套件維護者的歷史記錄和可信度以及相關的 GitHub 儲存庫。
• 監控依賴項：使用工具定期審核第三方程式庫並標記過時或可疑的程式庫。
• 限制權限：應用嚴格的存取控制，尤其是對應用程式中嵌入的憑證或私鑰。
• 注意異常的網路行為：密切注意意外的出站連接，特別是涉及 SMTP 或 WebSocket 流量的連接。

底線

Go 模組中嵌入的針對 Linux 的擦除惡意軟體的發現給軟體產業敲響了警鐘。隨著攻擊者的不斷發展，開發人員和組織所採用的防禦策略也必須不斷發展。警惕、透明和持續審計不再是可有可無的，它們是現代軟體安全的重要支柱。