Des modules Go malveillants propagent des logiciels malveillants Linux effaçant les disques durs
Des chercheurs en cybersécurité ont récemment découvert trois modules Go malveillants qui utilisent du code obscurci pour récupérer des charges utiles dangereuses, susceptibles d'endommager irrémédiablement les systèmes Linux. Ces modules semblent légitimes, mais sont conçus pour exécuter des charges utiles distantes qui effacent le disque principal d'un système, le rendant inamorçable.
Table des matières
Paquets Go dangereux identifiés
Les modules Go suivants sont impliqués :
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
Ces packages contiennent du code hautement obscurci, conçu pour télécharger et exécuter des charges utiles lorsqu'il est exécuté sur un système Linux.
Les charges utiles destructrices écrasent les données critiques du disque
Le code endommagé recherche un système d'exploitation Linux et, s'il est détecté, utilise wget pour récupérer une charge utile de niveau supérieur depuis un serveur distant. Cette charge utile est un script shell destructeur qui écrase le disque principal du système (/dev/sda) avec des zéros. Par conséquent, le système devient inamorçable et aucun outil de récupération de données ni processus d'investigation ne peut restaurer les informations perdues, car le disque est irréversiblement détruit. Cette méthode met en évidence les risques extrêmes posés par les attaques de la chaîne d'approvisionnement, où un code légitime peut causer des dommages catastrophiques aux serveurs Linux et aux environnements de développement.
Menace croissante des packages npm frauduleux
Parallèlement à la découverte de modules Go non sécurisés, plusieurs packages npm malveillants ont également été détectés. Ces packages sont conçus pour collecter des informations sensibles, notamment des phrases mnémotechniques et des clés de cryptomonnaie privées, susceptibles d'entraîner le vol des actifs numériques des utilisateurs.
Paquets npm suspects identifiés
Les packages npm suivants ont été signalés comme falsifiés :
- crypto-crypt-ts
- test de page de défilement de react-native
- service bancaire
- boutonfactoryserv-paypal
- tommyboytesting
- compliancereadserv-paypal
- oauth2-paypal
- service de plateforme d'API de paiement-Paypal
- userbridge-paypal
- Relation utilisateur-Paypal
Ces packages sont conçus de manière malveillante pour exfiltrer des informations sensibles, ce qui représente une menace massive pour la confidentialité et la sécurité des utilisateurs.
Des packages PyPI chargés de logiciels malveillants collectent des données de cryptomonnaie
Le référentiel Python Package Index (PyPI) a également constaté une augmentation du nombre de packages compromis ciblant les portefeuilles de cryptomonnaies. Ces packages, téléchargés plus de 6 800 fois depuis leur publication en 2024, sont conçus pour voler des phrases mnémotechniques, compromettant ainsi les avoirs en cryptomonnaies des utilisateurs.
Paquets PyPI non sécurisés notables
Deux packages clés ciblant les portefeuilles de cryptomonnaies incluent :
- web3x
- iciwalletbot
Ces paquets visent à détourner les phrases mnémotechniques des utilisateurs, mettant ainsi en péril leurs ressources numériques. Par ailleurs, sept autres paquets PyPI, désormais supprimés, ont été découverts utilisant les serveurs SMTP et WebSockets de Gmail pour exfiltrer des données et établir des accès à distance.
Exfiltration de données et exécution de commandes à distance via Gmail
Les packages PyPI non sécurisés utilisent des identifiants Gmail codés en dur pour se connecter au serveur SMTP de Gmail et envoyer un message à une autre adresse Gmail pour signaler une compromission réussie. Une connexion WebSocket est ensuite établie, permettant à l'attaquant de maintenir une communication bidirectionnelle avec le système compromis.
L'utilisation de domaines Gmail (smtp.gmail.com) rend ces attaques plus furtives, car les proxys d'entreprise et les systèmes de protection des terminaux sont moins susceptibles de les signaler comme suspects, compte tenu de la confiance associée aux services Gmail.
Forfait exceptionnel : cfc-bsb
Le package cfc-bsb est remarquable car il ne dispose pas de la fonctionnalité Gmail mais utilise plutôt la logique WebSocket pour faciliter l'accès à distance, contournant les mesures de détection traditionnelles.
Comment atténuer les menaces sur la chaîne d’approvisionnement
Pour se protéger contre ces packages nuisibles et autres menaces pour la chaîne d’approvisionnement, les développeurs doivent adopter les pratiques suivantes :
- Vérifier l'authenticité du package : vérifiez l'historique de l'éditeur et les liens du référentiel GitHub pour garantir la légitimité du package.
- Auditez régulièrement les dépendances : auditez régulièrement les dépendances et assurez-vous qu'elles sont à jour et exemptes de code malveillant.
- Appliquer des contrôles d’accès stricts : mettez en œuvre des mécanismes de contrôle d’accès stricts pour protéger les clés privées et autres informations d’identification sensibles.
De plus, les développeurs doivent rester vigilants face aux connexions sortantes inhabituelles, notamment le trafic SMTP, car les attaquants peuvent utiliser des services légitimes comme Gmail pour exfiltrer des données. Il est également crucial d'éviter de faire confiance à un package uniquement parce qu'il existe depuis longtemps sans avoir été supprimé, car cela pourrait masquer une activité dangereuse.
