el más reciente

― Advertisement ―

Relacionada

spot_img
HomeTecnologíaLos módulos de GO maliciosos entregan malware Linux de limpieza de disco...

Los módulos de GO maliciosos entregan malware Linux de limpieza de disco en un ataque avanzado de la cadena de suministro

Los investigadores de ciberseguridad han descubierto tres módulos de GO maliciosos que incluyen un código ofuscado para obtener cargas bártulos de la próxima etapa que pueden sobrescribir irrevocablemente sobrescribir el disco primario de un sistema Linux y hacer que no sean inquietables.

Los nombres de los paquetes se enumeran a continuación –

  • GitHub (.) COM/AHERRYPHARM/PROTOTRANSFORMA
  • GitHub (.) COM/BlankLoggia/Go-MCP
  • GitHub (.) COM/Steelpoor/TLSProxy

“A pesar de aparecer legítimos, estos módulos contenían un código enormemente ofuscado diseñado para obtener y ejecutar cargas remotas”, dijo el investigador de Socket Kush Pandya.

Los paquetes están diseñados para probar si el sistema activo en el que se están ejecutando es Linux, y si es así, recupere una carga útil de la próxima etapa de un servidor remoto usando WGET.

La carga útil es un script de shell destructivo que sobrescribe todo el disco primario (“/dev/sda”) con ceros, evitando efectivamente que la máquina se inicie.

“Este método destructivo garantiza que ninguna aparejo de recuperación de datos o un proceso forense puedan restaurar los datos, ya que lo sobrescribe directa e irreversiblemente”, dijo Pandya.

“Este script receloso deja servidores de Linux específicos o entornos de desarrolladores completamente lisiados, destacando el peligro extremo planteado por los ataques modernos de la prisión de suministro que pueden convertir el código aparentemente confiable en amenazas devastadoras”.

La divulgación se produce cuando se han identificado múltiples paquetes de NPM maliciosos en el registro con características para robar frases de semillas mnemónicas y claves de criptomonedas privadas y exfiltrados datos sensibles. La relación de los paquetes, identificados por Socket, Sonatype y Fortinet, está a continuación –

  • cripto-riprypt-ts
  • react-nativo-scrollpageViewTest
  • BankingBundleserv
  • buttonfactoryserv-paypal
  • Tommyboytesting
  • cumplimiento de la persona
  • OAUTH2-PAYPAL
  • paypiplatformservice-paypal
  • userbridge-paypal
  • userrelationship-paypal
Leer  Microsoft advierte de una campaña malvertida que infecta más de 1 millón de dispositivos en todo el mundo

Los paquetes con malware dirigidos a billeteras de criptomonedas asimismo se han descubierto en el repositorio del índice de paquetes de Python (PYPI)-Web3x y HerewalletBot-con capacidades para desviar frases de semillas mnemónicas. Estos paquetes se han descargado colectivamente más de 6.800 veces desde que se publicaron en 2024.

Se han antagónico otro conjunto de siete paquetes PYPI aprovechando los servidores SMTP de Gmail y WebSockets para exfiltración de datos y ejecución de comandos remotos en un intento de escamotear la detección. Los paquetes, que desde entonces se han eliminado, son los siguientes –

  • CFC-BSB (2,913 descargas)
  • Coffin2022 (6,571 descargas)
  • Coffin-codes-2022 (18,126 descargas)
  • Coffin-codes-net (6,144 descargas)
  • Coffin-codes-net2 (6.238 descargas)
  • Coffin-codes-pro (9.012 descargas)
  • Tranquilo de féretro (6,544 descargas)

Los paquetes usan credenciales de cuenta de Gmail codificadas para iniciar sesión en el servidor SMTP del servicio y expedir un mensaje a otra dirección de Gmail para indicar un compromiso exitoso. Seguidamente establecen una conexión WebSocket para establecer un canal de comunicación bidireccional con el atacante.

Los actores de amenaza aprovechan la confianza asociada con los dominios de Gmail (“Smtp.gmail (.) Com”) y el hecho de que los representantes corporativos y los sistemas de protección de punto final es poco probable que lo marquen como sospechoso, lo que lo convierte en sigiloso y confiable.

El paquete que menos del resto es CFC-BSB, que carece de la funcionalidad relacionada con Gmail, pero incorpora la método de WebSocket para proporcionar el ataque remoto.

Para mitigar el aventura planteado por tales amenazas de la prisión de suministro, se aconseja a los desarrolladores que verifiquen la autenticidad del paquete mediante la comprobación del historial del editor y los enlaces de repositorio de GitHub; dependencias de auditoría regularmente; y aplique estrictos controles de ataque en claves privadas.

Leer  El hacker chino Xu Zewei arrestado por lazos con el grupo de tifones de seda y ataques cibernéticos estadounidenses

“Esté atento a las conexiones de salida inusuales, especialmente el tráfico SMTP, ya que los atacantes pueden usar servicios legítimos como Gmail para robar datos confidenciales”, dijo la investigadora de socket Olivia Brown. “No confíe en un paquete nada más porque ha existido durante más de unos pocos primaveras sin ser eliminado”.

El más popular

spot_img