Bir tedarik zinciri saldırısı, GitHub’da yayınlanan Golang modüllerinde gizlenmiş disk değiştirme kötü amaçlı yazılımları olan Linux sunucularını hedefler.
Kampanya geçen ay tespit edildi ve uzak yükleri almak ve bunları yürütmek için “yüksek derecede gizlenmiş kod” içeren üç kötü amaçlı GO modülüne dayanıyordu.
Tam Disk Yıkımı
Saldırı, Linux tabanlı sunucular ve geliştirici ortamları için özel olarak tasarlanmış, yıkıcı yük – bir Bash komut dosyası olarak tasarlanmıştır. bitti.shDosya Kullanma Etkinliği için bir ‘DD’ komutu çalıştırır.
Ayrıca, yük, bir Linux ortamında çalıştığını doğrular (runtime.goos == “linux”) yürütmeye çalışmadan önce.
Tedarik zinciri güvenlik şirketi soketinin bir analizi, komutun her veri baytıyla sıfırla yazdığını ve geri dönüşü olmayan veri kaybına ve sistem arızasına yol açtığını göstermektedir.
Hedef birincil depolama hacmidir, /Dev/sdakritik sistem verilerini, kullanıcı dosyalarını, veritabanlarını ve yapılandırmaları tutar.
“Tüm diski sıfırla doldurarak, komut dosyası dosya sistemi yapısını, işletim sistemini ve tüm kullanıcı verilerini tamamen yok eder, sistemi başlatılmaz ve tahliye edilemez hale getirir” – soket
Araştırmacılar saldırıyı Nisan ayında keşfettiler ve GitHub’da o zamandan beri platformdan kaldırılan üç GO modülü tespit ettiler:
- zımpara[.]com/truefulpharm/prototransform
- zımpara[.]com/blankloggia/go-mcp
- zımpara[.]com/steelpoor/tlsproxy
Her üç modül de, kötü amaçlı veri açma komut dosyasını (/bin/bash veya/bin/sh) indirmek için ‘WGET’ kullanan komutlara ayrılan gizlenmiş kod içeriyordu.
Soket araştırmacılarına göre, yükler indirildikten hemen sonra yürütülür, “neredeyse yanıt veya kurtarma için zaman ayırmaz”.
Kötü niyetli GO modülleri, mesaj verilerini çeşitli formatlara (prototransform) dönüştürmek için meşru projeleri, model bağlam protokolünün (GO-MCP) GO uygulamasına ve TCP ve HTTP sunucuları (TLSProxy) için şifreleme sağlayan bir TLS proxy aracı olduğu görülmektedir.
Soket araştırmacıları, analiz edilen yıkıcı modüllere minimum maruz kalmanın bile tam veri kaybı gibi önemli ölçüde etkileyebileceği konusunda uyarıyor.
Uygun kontrollerden yoksun olan GO ekosisteminin merkezi olmayan doğası nedeniyle, farklı geliştiricilerin paketleri aynı veya benzer isimlere sahip olabilir.
Saldırganlar, meşru görünen modül ad alanları oluşturmak ve geliştiricilerin kötü amaçlı kodları projelerine entegre etmelerini beklemek için bundan yararlanabilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.