هشدار جدی به توسعه دهندگان لینوکس

ماژول های مخرب Go با قابلیت پاک کردن کامل دیسک در یک حمله زنجیره تامین پیچیده شناسایی شدند!

به گزارش زوم تک از The Hacker News، محققان امنیت سایبری سه ماژول مخرب Go را کشف کرده اند که شامل کد مبهم برای دریافت بار ثانویه هستند. این بار ثانویه می تواند به طور غیرقابل بازگشتی دیسک اصلی یک سیستم لینوکس را بازنویسی کرده و آن را غیرقابل بوت کند.

اسامی بسته های مخرب

• github[.]com/truthfulpharm/prototransform
• github[.]com/blankloggia/go-mcp
• github[.]com/steelpoor/tlsproxy

کوش پاندیا، محقق Socket، در این باره گفت: “علیرغم ظاهر قانونی، این ماژول ها حاوی کد بسیار مبهمی بودند که برای دریافت و اجرای بار از راه دور طراحی شده اند.”

این بسته ها طوری طراحی شده اند که بررسی کنند آیا سیستم عامل در حال اجرا لینوکس است یا خیر. در صورت مثبت بودن، آنها یک بار ثانویه را از یک سرور راه دور با استفاده از wget دریافت می کنند.

این بار یک اسکریپت مخرب شل است که کل دیسک اصلی (“/dev/sda”) را با صفر بازنویسی می کند و به طور موثر از بوت شدن دستگاه جلوگیری می کند.

پاندیا تاکید کرد: “این روش مخرب تضمین می کند که هیچ ابزار بازیابی داده یا فرآیند قانونی نمی تواند داده ها را بازیابی کند، زیرا مستقیماً و به طور غیرقابل برگشت آن را بازنویسی می کند.”

پیامدهای خطرناک حملات زنجیره تامین مدرن

این محقق امنیتی افزود: “این اسکریپت مخرب، سرورهای لینوکس یا محیط های توسعه دهندگان هدف را به طور کامل فلج می کند و خطر شدید ناشی از حملات زنجیره تامین مدرن را برجسته می کند. این حملات می توانند کدهای به ظاهر قابل اعتماد را به تهدیدهای ویرانگر تبدیل کنند.”

کشف بسته های مخرب در رجیستری های دیگر

این افشاگری در حالی صورت می گیرد که چندین بسته مخرب npm نیز در رجیستری شناسایی شده اند که دارای ویژگی هایی برای سرقت عبارات یادآور و کلیدهای خصوصی ارزهای دیجیتال و همچنین استخراج داده های حساس هستند. لیست این بسته ها که توسط Socket، Sonatype و Fortinet شناسایی شده اند، به شرح زیر است:

• crypto-encrypt-ts
• react-native-scrollpageviewtest
• bankingbundleserv
• buttonfactoryserv-paypal
• tommyboytesting
• compliancereadserv-paypal
• oauth2-paypal
• paymentapiplatformservice-paypal
• userbridge-paypal
• userrelationship-paypal

همچنین بسته های آلوده به بدافزار که کیف پول های ارز دیجیتال را هدف قرار می دهند، در مخزن شاخص بسته پایتون (PyPI) کشف شده اند – web3x و herewalletbot – که قابلیت سرقت عبارات یادآور را دارند. این بسته ها از زمان انتشار در سال 2024، بیش از 6800 بار به طور جمعی دانلود شده اند.

مجموعه دیگری از هفت بسته PyPI نیز شناسایی شده اند که از سرورهای SMTP جیمیل و WebSocket برای استخراج داده ها و اجرای دستورات از راه دور به منظور فرار از شناسایی استفاده می کنند. این بسته ها که اکنون حذف شده اند، عبارتند از:

• cfc-bsb (2913 دانلود)
• coffin2022 (6571 دانلود)
• coffin-codes-2022 (18126 دانلود)
• coffin-codes-net (6144 دانلود)
• coffin-codes-net2 (6238 دانلود)
• coffin-codes-pro (9012 دانلود)
• coffin-grave (6544 دانلود)

این بسته ها از اعتبارنامه های حساب جیمیل که به صورت هاردکد شده در آنها قرار داده شده، برای ورود به سرور SMTP این سرویس و ارسال پیام به یک آدرس جیمیل دیگر به منظور اعلام موفقیت آمیز بودن نفوذ استفاده می کنند. سپس آنها یک اتصال WebSocket برای ایجاد یک کانال ارتباطی دو طرفه با مهاجم برقرار می کنند.

استفاده از سرویس های معتبر برای حملات مخفیانه

بازیگران تهدید از اعتماد مرتبط با دامنه های جیمیل (“smtp.gmail[.]com”) و این واقعیت که پراکسی های شرکتی و سیستم های حفاظت از نقاط پایانی بعید است آن را به عنوان مشکوک علامت گذاری کنند، سوء استفاده می کنند، که این امر آن را هم مخفیانه و هم قابل اعتماد می سازد.

بسته cfc-bsb از بقیه متمایز است، زیرا فاقد قابلیت های مرتبط با جیمیل است، اما منطق WebSocket را برای تسهیل دسترسی از راه دور در خود جای داده است.

توصیه هایی برای کاهش خطرات حملات زنجیره تامین

برای کاهش خطرات ناشی از چنین تهدیدات زنجیره تامینی، به توسعه دهندگان توصیه می شود که با بررسی سابقه ناشر و لینک های مخزن GitHub، اصالت بسته ها را تأیید کنند؛ وابستگی ها را به طور منظم ممیزی کنند؛ و کنترل های دسترسی سختگیرانه ای را بر روی کلیدهای خصوصی اعمال کنند.

اولیویا براون، محقق Socket، در این زمینه گفت: “مراقب اتصالات خروجی غیرمعمول، به ویژه ترافیک SMTP باشید، زیرا مهاجمان می توانند از سرویس های قانونی مانند جیمیل برای سرقت داده های حساس استفاده کنند. صرفاً به این دلیل که یک بسته برای چند سال بدون حذف شدن وجود داشته است، به آن اعتماد نکنید.”