Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Los módulos Go maliciosos propagan malware de Linux que...

Los módulos Go maliciosos propagan malware de Linux que borra discos

Por Mezo en Software malicioso
Traducir a:

Investigadores de ciberseguridad han descubierto recientemente tres módulos Go dañinos que utilizan código ofuscado para obtener cargas útiles inseguras, las cuales pueden dañar irreversiblemente los sistemas Linux. Estos módulos parecen legítimos, pero están diseñados para ejecutar cargas útiles remotas que borran el disco principal del sistema, impidiéndole arrancar.

Paquetes Go identificados como inseguros

Los siguientes módulos Go están implicados:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Estos paquetes contienen código altamente ofuscado, que está diseñado para descargar y ejecutar cargas útiles cuando se ejecuta en un sistema Linux.

Las cargas útiles destructivas sobrescriben datos críticos del disco

El código dañado busca un sistema operativo Linux y, si lo detecta, usa wget para obtener una carga útil de la siguiente etapa desde un servidor remoto. Esta carga útil es un script de shell destructivo que sobrescribe el disco principal del sistema (/dev/sda) con ceros. Como resultado, el sistema no puede arrancar y ninguna herramienta de recuperación de datos ni proceso forense puede restaurar la información perdida, ya que el disco queda destruido irreversiblemente. Este método pone de manifiesto los riesgos extremos que plantean los ataques a la cadena de suministro, donde el código legítimo puede causar daños catastróficos a servidores Linux y entornos de desarrollo.

Amenaza creciente de paquetes npm fraudulentos

Además del descubrimiento de módulos Go inseguros, también se han detectado múltiples paquetes npm dañinos. Estos paquetes están diseñados para recopilar información confidencial, que puede incluir frases semilla mnemotécnicas y claves privadas de criptomonedas, lo que puede conducir al robo de activos digitales de los usuarios.

Paquetes npm sospechosos identificados

Los siguientes paquetes npm han sido marcados como manipulados:

  • cripto-encriptar-ts
  • Prueba de vista de página de desplazamiento de react-native
  • servicio bancario
  • buttonfactoryserv-paypal
  • Prueba de Tommyboy
  • cumplimientoreadserv-paypal
  • oauth2-paypal
  • servicio de plataforma de pago de PayPal
  • userbridge-paypal
  • Relación de usuario-paypal

Estos paquetes están diseñados brutalmente para exfiltrar información confidencial, lo que representa una amenaza enorme para la privacidad y la seguridad de los usuarios.

Paquetes PyPI con malware recopilan datos de criptomonedas

El repositorio del Índice de Paquetes de Python (PyPI) también ha visto un aumento de paquetes comprometidos que atacan las billeteras de criptomonedas. Estos paquetes se han descargado más de 6800 veces desde su lanzamiento en 2024 y están diseñados para robar frases semilla mnemotécnicas, comprometiendo así las criptomonedas de los usuarios.

Paquetes de PyPI no seguros notables

Dos paquetes clave dirigidos a las billeteras de criptomonedas incluyen:

  • web3x
  • herewalletbot

Estos paquetes buscan extraer frases mnemotécnicas de los usuarios, poniendo en riesgo sus activos digitales. Además, se descubrió otro conjunto de siete paquetes PyPI, ya eliminados, que utilizaban los servidores SMTP y WebSockets de Gmail para exfiltrar datos y establecer acceso remoto.

Exfiltración de datos basada en Gmail y ejecución remota de comandos

Los paquetes inseguros de PyPI utilizan credenciales de Gmail predefinidas para iniciar sesión en el servidor SMTP de Gmail y enviar un mensaje a otra dirección de Gmail para indicar que el ataque ha sido exitoso. Posteriormente, se establece una conexión WebSocket, lo que permite al atacante mantener una comunicación bidireccional con el sistema comprometido.

El uso de dominios de Gmail (smtp.gmail.com) hace que estos ataques sean más sigilosos, ya que los servidores proxy corporativos y los sistemas de protección de puntos finales tienen menos probabilidades de marcarlos como sospechosos, dada la confianza asociada con los servicios de Gmail.

Paquete destacado: cfc-bsb

El paquete cfc-bsb es digno de mención ya que no incluye la funcionalidad de Gmail sino que utiliza la lógica WebSocket para facilitar el acceso remoto, eludiendo las medidas de detección tradicionales.

Cómo mitigar las amenazas a la cadena de suministro

Para protegerse contra estos paquetes dañinos y otras amenazas a la cadena de suministro, los desarrolladores deben adoptar las siguientes prácticas:

  • Verificar la autenticidad del paquete : verifique el historial del editor y los enlaces del repositorio de GitHub para garantizar la legitimidad del paquete.
  • Auditar dependencias periódicamente : audite periódicamente las dependencias y asegúrese de que estén actualizadas y libres de código malicioso.
  • Aplicar controles de acceso estrictos : implemente mecanismos de control de acceso estrictos para proteger claves privadas y otras credenciales confidenciales.

Además, los desarrolladores deben estar atentos a las conexiones salientes inusuales, en particular al tráfico SMTP, ya que los atacantes podrían usar servicios legítimos como Gmail para la exfiltración de datos. También es crucial evitar confiar en un paquete solo porque lleva mucho tiempo sin eliminarse, ya que esto podría enmascarar actividades peligrosas.

Tendencias

Compensación de DOGE a víctimas de fraude por correo...

Suplantación de identidad (phishing), Correo basura
Mantenerse alerta es más crucial que nunca. Cada día, los ciberdelincuentes idean nuevas formas de manipular a usuarios desprevenidos, a menudo disfrazando tácticas de comunicaciones legítimas. Los correos electrónicos fraudulentos de phishing son especialmente peligrosos porque atacan la confianza y la curiosidad de las personas, utilizando con frecuencia lenguaje y logotipos que parecen...

Mas Visto

Cargando...