聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
这些恶意包的名称如下:
-
github[.]com/truthfulpharm/prototransform
-
github[.]com/blankloggia/go-mcp
-
github[.]com/steelpoor/tlsproxy
Socket 公司的研究员 Kush Pandya 表示,“尽管看似是合法的,但这些模块中包含高度混淆的、旨在提取和执行远程 payload 的混淆代码。”这些恶意包旨在查看它们所运行的操作系统是否为 Linux,如是,则通过wget从远程服务器上接收下一阶段的payload。该payload 是一个破坏性 shell 脚本,通过0来覆写整个主磁盘 (“/dev/sda”),从而有效地阻止机器启动。Pandya 表示,“该破坏性方法确保没有数据恢复工具或取证流程能够恢复数据,因为这种方法直接以不可逆的方式进行覆写。该恶意脚本导致目标 Linux 服务器或开发员环境更快,凸显了现代供应链攻击带来的巨大危险,它可将看似可信任的代码转变为灾难性威胁。”
此前不久,多个npm恶意包被指存在于该注册表中,它们能够窃取助记种子短语和密币私钥并提取敏感数据。这些包由Socket、Sonatype和Fortinet 公司发现。
含恶意软件的针对密币钱包的程序包也出现在 PyPI 仓库中,它们能够嗅探助记种子短语。这些包在2024年发布之日起的下载量已超过6800次。另外7个PyPI 包也被指利用 Gmail 的SMTP 服务器和 WebSocket 提取数据和实现远程命令执行,试图躲避检测。这些包利用硬编码的 Gmail 账号凭据登录到服务的 SMTP 服务器并将消息发送到另外一个 Gmail 地址以提示成功攻陷。它们之后会建立 WebSocket 连接,与攻击者建立双向通信信道。攻击者利用与 Gmail 域名 (“smtp.gmail[.]com”) 的信任以及企业代理与端点防护系统可能不会将其标记为“可疑”的事实,导致攻击隐秘且可靠。
要缓解此类供应链威胁,建议开发人员通过检查发布者历史和GitHub 仓库链接来验证包的真实性;定期审计依赖并强制对私钥实施严格的访问控制。
Socket 公司的研究员 Olivia Brown 表示,“注意异常的出站连接,尤其是SMTP流量,因为攻击者可使用合法服务如 Gmail 来窃取敏感数据。不要仅仅因为一个程序包存在多年时间未被下架,就认为它是可信任的。”
原文始发于微信公众号(代码卫士):恶意Go模块在高阶供应链攻击中传播 Linux 恶意软件擦除磁盘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论