Los investigadores de ciberseguridad han descubierto tres módulos de GO maliciosos que incluyen un código ofuscado para obtener cargas útiles de la próxima etapa que pueden sobrescribir irrevocablemente sobrescribir el disco primario de un sistema Linux y hacer que no sean inquietables.
Los nombres de los paquetes se enumeran a continuación –
- GitHub (.) COM/AHERRYPHARM/PROTOTRANSFORMA
- GitHub (.) COM/BlankLoggia/Go-MCP
- GitHub (.) COM/Steelpoor/TLSProxy
«A pesar de aparecer legítimos, estos módulos contenían un código altamente ofuscado diseñado para obtener y ejecutar cargas remotas», dijo el investigador de Socket Kush Pandya.
Los paquetes están diseñados para verificar si el sistema operativo en el que se están ejecutando es Linux, y si es así, recupere una carga útil de la próxima etapa de un servidor remoto usando WGET.
La carga útil es un script de shell destructivo que sobrescribe todo el disco primario («/dev/sda») con ceros, evitando efectivamente que la máquina se inicie.
«Este método destructivo garantiza que ninguna herramienta de recuperación de datos o un proceso forense puedan restaurar los datos, ya que lo sobrescribe directa e irreversiblemente», dijo Pandya.
«Este script malicioso deja servidores de Linux específicos o entornos de desarrolladores completamente lisiados, destacando el peligro extremo planteado por los ataques modernos de la cadena de suministro que pueden convertir el código aparentemente confiable en amenazas devastadoras».
La divulgación se produce cuando se han identificado múltiples paquetes de NPM maliciosos en el registro con características para robar frases de semillas mnemónicas y claves de criptomonedas privadas y exfiltrados datos sensibles. La lista de los paquetes, identificados por Socket, Sonatype y Fortinet, está a continuación –
- cripto-riprypt-ts
- react-nativo-scrollpageViewTest
- BankingBundleserv
- buttonfactoryserv-paypal
- Tommyboytesting
- cumplimiento de la persona
- OAUTH2-PAYPAL
- paypiplatformservice-paypal
- userbridge-paypal
- userrelationship-paypal
Los paquetes con malware dirigidos a billeteras de criptomonedas también se han descubierto en el repositorio del índice de paquetes de Python (PYPI)-Web3x y HerewalletBot-con capacidades para desviar frases de semillas mnemónicas. Estos paquetes se han descargado colectivamente más de 6.800 veces desde que se publicaron en 2024.
Se han encontrado otro conjunto de siete paquetes PYPI aprovechando los servidores SMTP de Gmail y WebSockets para exfiltración de datos y ejecución de comandos remotos en un intento de evadir la detección. Los paquetes, que desde entonces se han eliminado, son los siguientes –
- CFC-BSB (2,913 descargas)
- Coffin2022 (6,571 descargas)
- Coffin-codes-2022 (18,126 descargas)
- Coffin-codes-net (6,144 descargas)
- Coffin-codes-net2 (6.238 descargas)
- Coffin-codes-pro (9.012 descargas)
- Grave de ataúd (6,544 descargas)
Los paquetes usan credenciales de cuenta de Gmail codificadas para iniciar sesión en el servidor SMTP del servicio y enviar un mensaje a otra dirección de Gmail para indicar un compromiso exitoso. Posteriormente establecen una conexión WebSocket para establecer un canal de comunicación bidireccional con el atacante.
Los actores de amenaza aprovechan la confianza asociada con los dominios de Gmail («Smtp.gmail (.) Com») y el hecho de que los representantes corporativos y los sistemas de protección de punto final es poco probable que lo marquen como sospechoso, lo que lo convierte en sigiloso y confiable.
El paquete que aparte del resto es CFC-BSB, que carece de la funcionalidad relacionada con Gmail, pero incorpora la lógica de WebSocket para facilitar el acceso remoto.
Para mitigar el riesgo planteado por tales amenazas de la cadena de suministro, se aconseja a los desarrolladores que verifiquen la autenticidad del paquete mediante la verificación del historial del editor y los enlaces de repositorio de GitHub; dependencias de auditoría regularmente; y aplique estrictos controles de acceso en claves privadas.
«Esté atento a las conexiones de salida inusuales, especialmente el tráfico SMTP, ya que los atacantes pueden usar servicios legítimos como Gmail para robar datos confidenciales», dijo la investigadora de socket Olivia Brown. «No confíe en un paquete únicamente porque ha existido durante más de unos pocos años sin ser eliminado».
