Siber güvenlik araştırmacıları, bir Linux sisteminin birincil diskini kalıcı olarak sıfırlayıp sistemin açılmasını engelleyen zararlı yükleri indirip çalıştıran, kötü niyetli üç Go modülü tespit etti.
Zararlı Go modülleri şunlardır: - github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
Socket araştırmacısı
Kush Pandya'ya göre:
"Görünüşte meşru olan bu modüller, uzaktan yük indirip çalıştıran oldukça karmaşık (obfuscate edilmiş) kodlar içeriyor."
Bu paketler, çalıştırıldıkları sistemin Linux olup olmadığını kontrol ediyor. Eğer Linux ise, wget aracılığıyla uzak bir sunucudan ikinci aşama bir payload indiriyorlar.
Bu payload, sistemin birincil diskini (/dev/sda)
sıfırlarla (0'larla) dolduran ve makinenin
açılmasını imkansız hale getiren yıkıcı bir shell scripttir.
Pandya'nın açıklaması:
Bu yıkıcı yöntem sayesinde hiçbir veri kurtarma aracı veya adli analiz yöntemi verileri geri getiremez; çünkü disk doğrudan ve geri döndürülemez biçimde üzerine yazılıyor.
Bu tür modern tedarik zinciri saldırıları, güvenilir görünen yazılımları bile felakete dönüştürebilir.
Bu açıklamanın hemen ardından,
npm deposunda yer alan ve kripto para cüzdanlarını hedef alan zararlı paketler tespit edildi. Bu paketler,
mnemonic seed phraseleri, özel anahtarları çalmak ve hassas verileri dışarı sızdırmak için tasarlanmış durumda.
Zararlı npm paketleri: - crypto-encrypt-ts
- react-native-scrollpageviewtest
- bankingbundleserv
- buttonfactoryserv-paypal
- tommyboytesting
- compliancereadserv-paypal
- oauth2-paypal
- paymentapiplatformservice-paypal
- userbridge-paypal
- userrelationship-paypal
Buna ek olarak,
Python Package Index (PyPI) üzerinden de kripto cüzdanları hedef alan iki zararlı paket tespit edildi:
Bu paketler, 2024 yılında yayınlandıktan sonra toplam
6.800den fazla indirildi. Veri Çalma ve Uzaktan Komut Çalıştırma İçin Kullanılan Diğer PyPI Paketleri:
Araştırmacılar, Gmail'in SMTP sunucularını ve WebSocketleri kullanarak veri sızdıran ve uzaktan komut çalıştıran
7 zararlı PyPI paketi daha tespit etti:
- cfc-bsb (2.913 indirme)
- coffin2022 (6.571)
- coffin-codes-2022 (18.126)
- coffin-codes-net (6.144)
- coffin-codes-net2 (6.238)
- coffin-codes-pro (9.012)
- coffin-grave (6.544)
Bu paketler, sabitlenmiş Gmail kimlik bilgilerini kullanarak SMTP üzerinden başka bir Gmail adresine "başarıyla ele geçirildi" sinyali gönderiyor. Ardından, bir
WebSocket bağlantısı kurarak saldırganla çift yönlü iletişim kuruyorlar.
cfc-bsb adlı paket, diğerlerinden farklı olarak Gmail işlevi içermiyor ancak WebSocket ile uzaktan erişimi sürdürüyor.
Korunma Önerileri:
- Paket yayıncısının geçmişini ve GitHub bağlantılarını kontrol ederek paket doğruluğunu teyit edin.
- Bağımlılıkları düzenli olarak denetleyin.
- Özel anahtarlar üzerinde sıkı erişim kontrolleri uygulayın.
- SMTP trafiği gibi olağandışı dış bağlantıları izleyin.
- Socket araştırmacısı Olivia Browna göre:
Sırf uzun süredir yayında diye bir pakete güvenmeyin. Saldırganlar artık meşru görünümü iyi taklit ediyor.