Исследователи компании Socket обнаружили три вредоносных модуля на языке Go, которые могут серьезно навредить системам Linux. Эти модули содержат обфусцированный код, способный перезаписать данные на основном диске, что делает систему полностью непригодной для работы.
Подозрительные пакеты были размещены на GitHub под именами: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy. Несмотря на уловки, которые придают им легитимный вид, в действительности они содержали код, который проверяет, запущены ли они на Linux-системе. В случае положительного ответа, происходит загрузка вредоносного деструктивного шелл-скрипта, который перезаписывает весь основной диск (/dev/sda) нулями.
Эти события подчеркивают важность безопасности в экосистеме Go, где модули импортируются напрямую из репозиториев GitHub, что создает дополнительные сложности для разработчиков. Исследователи отмечают, что наличие множества модулей с похожими именами делает процесс идентификации легитимных пакетов крайне сложным, что часто используется злоумышленниками для атак.
В последние месяцы подобные инциденты с вредоносными пакетами стали происходить все чаще. На этой неделе аналогичные угрозы были обнаружены в репозитории PyPI, где вредоносные пакеты также агрессивно использовались для создания туннелей через Gmail и выполнения произвольных команд на зараженных системах.
Эксперты пытаются обратить внимание на эту проблему и призывают разработчиков тщательно проверять пакеты перед их использованием. Они рекомендуют проводить аудит зависимостей, проверять подлинность пакетов и следить за управлением доступом к приватным ключам. Куш Пандья, эксперт из Socket, выражает уверенность в том, что подобные атаки на цепочки поставок могут иметь катастрофические последствия, если разработчики не будут проявлять должную осторожность. Анастасия Мельникова из SEQ добавляет, что частота таких инцидентов свидетельствует о недостаточной реализации безопасности в публичных репозиториях.
На данный момент все три вредоносных пакета были удалены из GitHub, однако предостережения о безопасности остаются актуальными и требуют немедленного внимания со стороны разработчиков.