Wiper Golang modulokban a GitHubon
Kiberszereplők a GitHubon közzétett Golang modulokba rejtett, lemeztörlő rosszindulatú szoftverrel támadnak Linux-szervereket. A múlt hónapban észlelt kampány három rosszindulatú Go modult érintett, amelyek erősen obfuszkált kódot tartalmaztak a távoli payload-ok lekérdezéséhez és végrehajtásához.
A Socket elemzése szerint úgy tűnik, a kibertevékenységet kifejezetten Linux-alapú szerverekre és fejlesztői környezetekre tervezték, mivel a payload – egy done.sh nevű Bash-szkript – egy “dd” parancsot futtat a fájltörlési tevékenység érdekében. A payload emellett ellenőrzi, hogy Linux környezetben fut (runtime.GOOS == „linux”). A Socket szerint a parancs minden egyes bájt adatot nullával ír felül, ami visszafordíthatatlan adatvesztéshez és rendszerhibához vezet. A célpont az elsődleges tároló kötet, a /dev/sda, amely kritikus rendszeradatokat, felhasználói fájlokat, adatbázisokat és konfigurációkat tartalmaz.
A kutatók áprilisban fedezték fel a kibertevékenységet, és három Go modult azonosítottak a GitHubon, amelyeket azóta eltávolítottak a platformról:
github[.]com/truthfulpharm/prototransform; github[.]com/blankloggia/go-mcp; github[.]com/steelpoor/tlsproxy.
Mindhárom modul obfuszkált kódot tartalmazott, amely olyan parancsokká dekódolódott, amelyek a wget segítségével letöltötték a rosszindulatú adattörlő szkriptet (/bin/bash vagy /bin/sh). A Socket kutatói szerint a hasznos terhek a letöltés után azonnal végrehajtódtak.
A Socket kutatói arra figyelmeztetnek, hogy az elemzett romboló moduloknak való minimális kitettség is jelentős kockázatokat rejthet magában és akár teljes adatvesztést is okozhat. A Go ökoszisztéma decentralizált jellege miatt, amelyből hiányzik a megfelelő ellenőrzés, a különböző fejlesztőktől származó csomagok azonos vagy hasonló nevet viselhetnek. A támadók ezt kihasználva legitimnek tűnő modulokat hozhatnak létre, amiket aztán a fejlesztők potenciálisan beépítenek a projektjeikbe.
