Une attaque de la chaîne d’approvisionnement cible les serveurs Linux avec des logiciels malveillants d’effacement de disque cachés dans les modules Golang publiés sur GitHub.
La campagne a été détectée le mois dernier et reposait sur trois modules Go malveillants comprenant un « code hautement obscurci » pour récupérer des charges utiles distantes et les exécuter.
Destruction complète du disque
L’attaque semble conçue spécifiquement pour les serveurs basés sur Linux et les environnements de développement, en tant que charge utile destructrice – un script Bash nommé done.sh, exécute une commande ‘ dd ‘ pour l’activité d’effacement de fichiers.
De plus, la charge utile vérifie qu’elle s’exécute dans un environnement Linux (runtime.GOOS = = « linux ») avant d’essayer d’exécuter.
Une analyse de la société de sécurité de la chaîne d’approvisionnement Socket montre que la commande écrase de zéro chaque octet de données, entraînant une perte de données irréversible et une défaillance du système.
La cible est le volume de stockage principal, /dev / sda, qui contient les données système critiques, les fichiers utilisateur, les bases de données et les configurations.
“En remplissant tout le disque avec des zéros, le script détruit complètement la structure du système de fichiers, le système d’exploitation et toutes les données utilisateur, rendant le système non amorçable et irrécupérable » – Socket
Les chercheurs ont découvert l’attaque en avril et identifié trois modules Go sur GitHub, qui ont depuis été supprimés de la plate-forme:
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
Les trois modules contenaient du code obscurci qui se décode en commandes qui utilisent ‘wget’ pour télécharger le script malveillant d’effacement des données (/bin / bash ou /bin / sh).
Selon les chercheurs de Socket, les charges utiles sont exécutées immédiatement après le téléchargement “ » ne laissant pratiquement aucun temps de réponse ou de récupération.”
Les modules Go malveillants semblent avoir usurpé l’identité de projets légitimes pour convertir les données de message en différents formats( Prototransform), une implémentation Go du Protocole de contexte de modèle (go-mcp)et un outil proxy TLS qui fournit un cryptage pour les serveurs TCP et HTTP (tlsproxy).
Les chercheurs de Socket avertissent que même une exposition minimale aux modules destructeurs analysés peut avoir un impact significatif, comme une perte complète de données.
En raison de la nature décentralisée de l’écosystème Go qui manque de vérifications appropriées, les packages de différents développeurs peuvent avoir des noms identiques ou similaires.
Les attaquants peuvent en tirer parti pour créer des espaces de noms de modules qui semblent légitimes et attendre que les développeurs intègrent le code malveillant dans leurs projets.