資安研究人員近日發現三個惡意Go Modules,這些看似合法的套件中暗藏經過高度混淆的程式碼,能自動下載後續惡意載荷,進而徹底覆寫Linux系統的主要磁碟,使系統無法開機。
Socket安全團隊研究員Kush Pandya指出,這三個惡意模組分別為:
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
這些惡意套件會先檢查運行環境是否為Linux系統,確認後利用wget工具從遠端伺服器抓取後續載荷。這個毀滅性的Shell指令碼會以零覆寫整個主要磁碟("/dev/sda"),徹底摧毀系統開機能力。
Pandya表示,「這種破壞手法確保沒有任何資料恢復工具或鑑識程序能夠復原被覆寫的資料,因為它直接且不可逆地覆蓋了原始資料。這類惡意指令碼會使目標Linux伺服器或開發環境完全癱瘓,突顯了現代供應鏈攻擊的極端危險性,它們能將看似可信的程式碼轉變為致命威脅。」
除了Go Modules外,研究人員也在npm套件庫中發現多個惡意套件,這些套件能竊取加密貨幣助記詞、私鑰並外洩敏感資料。
Socket、Sonatype和Fortinet發現的惡意npm套件包括crypto-encrypt-ts、react-native-scrollpageviewtest等十餘個套件。
Python套件索引庫(PyPI)同樣遭到攻擊,研究人員發現名為web3x和herewalletbot的惡意套件針對加密貨幣錢包進行攻擊,這些套件自2024年發布以來已被下載超過6,800次。
另有七個PyPI套件被發現利用Gmail的SMTP伺服器和WebSocket進行資料外洩和遠端命令執行,以規避檢測。這些套件總下載量已超過55,000次,目前已被移除。這些惡意套件利用Gmail域名("smtp.gmail[.]com")的可信度,因為企業代理伺服器和端點防護系統不太可能將其標記為可疑,使攻擊既隱蔽又可靠。
為降低此類供應鏈威脅風險,專家建議開發者:驗證套件真實性,檢查發布者歷史和GitHub存儲庫連結;定期審核依賴項;對私鑰實施嚴格的存取控制。
Socket研究員Olivia Brown提醒:「特別留意異常對外連線,尤其是SMTP流量,因為駭客常藉Gmail等正規服務竊取機密資料。切勿因某套件長期存在而輕易信任,老牌套件一樣可能潛藏危機。」
這波攻擊再次提醒開發社群,開源軟體生態系統的供應鏈安全已成為現代資安的關鍵戰場。
本文轉載自thehackernews。