Siber güvenlik araştırmacıları, Nisan 2025’te GO programlama dili ekosistemini hedefleyen sofistike bir tedarik zinciri saldırısı ortaya çıkardılar.
Bilgisayar korsanları üç kötü amaçlı Go modülünü silahlandırdı[.]com/truefulpharm/prototransform, github[.]com/blankloggia/go-mcp ve github[.]com/steelpoor/tlsproxy-to yıkıcı disk değiştiren kötü amaçlı yazılım dağıtın.
Geliştiricilerin GitHub Sans Merkezi Gecitecting, Saldırganlar gibi kamu depolarından bağımlılıkları doğrudan ithal ettikleri Go’nun Modül Sisteminin merkezi olmayan doğasından yararlanmak, ad alanı karışıklığını kullanıyorlar ve kötü amaçlı kodlarını meşru kütüphaneler olarak maskele etmek için minimal doğrulama.
.png
)
Bu açıklık, esneklik için bir güç olsa da, yazım hatası ve ad alanı belirsizliğinin, geliştiricileri projelerine yıkıcı yükleri entegre etmelerini kandırmasını sağlayan kritik bir güvenlik açığı haline gelmiştir.
Gizli kod, felaket yükleri açığa çıkarır
Kötü niyetli modüller, niyetlerini gizlemek için dizi tabanlı dize manipülasyonu gibi gelişmiş gizleme tekniklerini kullanır, sadece çalışma zamanında yıkıcı doğalarını ortaya çıkarır.
Yürütme üzerine, linux ortamlarını özel olarak hedefleyen kod, https: // vanartest gibi saldırgan kontrollü alanlardan uzak kabuk komut dosyalarını getirir[.]Web sitesi ve https: // kaspamirror[.]YBÜ.
“Done.sh” olarak adlandırılan böyle bir komut dosyası, birincil depolama aygıtının (/dev/sda)/dev/sıfırdan sıfırlarla üzerine yazmak için UNIX yardımcı programı ‘DD’ kullanır.
Bu, dosya sistemini, işletim sistemini ve tüm kullanıcı verilerini yok eder, sistemleri mümkün olmayan ve verileri kurtarılamaz hale getirir.
Etki felakettir: tam veri kaybı, uzun süreli çalışma süresi ve etkilenen kuruluşlar için ciddi finansal ve itibar hasarı.
Socket’in güvenlik tarayıcıları, bu şüpheli davranışları işaretleyerek, yanıt veya hafifletme için pencere olmadan yürütülen yükleri ortaya çıkardı ve modern tedarik zinciri saldırılarının ölümcül hassasiyetini vurguladı.
Kısa maruz kalma bile kritik altyapıyı sakatlayabileceğinden, bu saldırının gerçek dünya sonuçları korkunçtur.
Veri çalabilecek veya fidye talep edebilecek geleneksel kötü amaçlı yazılımların aksine, bu disk değiştirme yükü geri dönüşümsüz yıkıma öncelik verir ve adli kurtarma mümkün olmamasını sağlar.
Bu olay, açık kaynaklı ekosistem sömürüsünde artan bir eğilime işaret ederek, kötü amaçlı yazılım yükleyicileri sunan yazım hatalı Go paketlerinin geçmişlerini yansıtıyor.
Rapora göre, siber güvenlik uzmanları, proaktif kod denetimleri, otomatik bağımlılık taraması ve çalışma zamanı izleme dahil olmak üzere güvenli geliştirme uygulamalarına acil ihtiyacını vurgulamaktadır.
Socket’in GitHub uygulaması ve CLI gibi araçlar, üretim ortamlarına sızmadan önce kötü amaçlı modülleri engellemek için gerçek zamanlı tehdit algılama sunar.
Saldırganlar taktiklerini rafine ederken, kamu koduna olan güvenden yararlanırken, Go topluluğu bu tür yıkıcı tehditlerden yazılım tedarik zincirlerini korumak için sağlam bağımlılık yönetimine ve sürekli uyanıklığa öncelik vermelidir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Detaylar |
|---|---|
| Kötü niyetli modüller | zımpara[.]com/truefulpharm/prototransform zımpara[.]com/blankloggia/go-mcp zımpara[.]com/steelpoor/tlsproxy |
| Kötü amaçlı URL’ler | https: // vanartest[.]Web Sitesi/Depolama/DE373D0DF/A31546BF https: // kaspamirror[.]YBÜ/Depolama/DE373D0DF/A31546BF (Çevrimdışı) http: //147.45.44[.]41/depolama/de373d0df/ccd7b46d (çevrimdışı) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!