安全研究人员最新发现,供应链攻击的目标是Linux服务器,其磁盘擦除恶意软件隐藏在GitHub上发布的Golang模块中。
该活动于上个月被发现,并依赖于三个恶意Go模块,其中包括“高度混淆的代码”,用于检索远程有效载荷并执行它们。
磁盘完全销毁
这种攻击似乎是专门为基于linux的服务器和开发人员环境设计的,因为破坏性的有效载荷——一个名为done.sh的Bash脚本,会为文件清除活动运行一个‘ dd ’命令。
此外,有效负载验证它在Linux环境(运行时)中运行。GOOS == "linux"),然后再尝试执行。
供应链安全公司Socket的一项分析表明,该命令用零覆盖数据的每个字节,导致不可逆转的数据丢失和系统故障。
目标是主存储卷/dev/sda,其中包含关键系统数据、用户文件、数据库和配置。
“通过用零填充整个磁盘,脚本完全破坏了文件系统结构、操作系统和所有用户数据,使系统无法启动和不可恢复”——Socket
研究人员在4月份发现了这次攻击,并在GitHub上发现了三个Go模块,这些模块已经从平台上删除:
·github[.]com/truthfulpharm/prototransform
·github[.]com/blankloggia/go-mcp
·github[.]com/steelpoor/tlsproxy
所有三个模块都包含混淆的代码,这些代码解码成使用‘ wget ’下载恶意数据清除脚本(/bin/bash或/bin/sh)的命令。
根据Socket研究人员的说法,有效负载在下载后立即执行,“几乎没有时间进行响应或恢复。”
恶意Go模块似乎模拟了将消息数据转换为各种格式的合法项目(Prototransform),模型上下文协议(Go -mcp)的Go实现,以及为TCP和HTTP服务器提供加密的TLS代理工具(tlsproxy)。即使最小限度地暴露在分析的破坏性模块中,也会产生重大影响,例如完全丢失数据。
由于Go生态系统的分散性,缺乏适当的检查,来自不同开发人员的包可能具有相同或相似的名称。
攻击者可以利用这一点来创建看似合法的模块名称空间,并等待开发人员将恶意代码集成到他们的项目中。
参考及来源:https://www.bleepingcomputer.com/news/security/linux-wiper-malware-hidden-in-malicious-go-modules-on-github/
原文始发于微信公众号(嘶吼专业版):Linux擦除器恶意软件隐藏在GitHub上的恶意Go模块
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论