Um ataque à cadeia de suprimentos (supply-chain attack) teve como alvo servidores Linux com um malware de limpeza de disco escondido em módulos Golang publicados no GitHub.
A campanha foi detectada mês passado e dependia de três módulos Go maliciosos que incluíam "código altamente ofuscado" para recuperar payloads remotos e executá-los.
O ataque parece ter sido projetado especificamente para servidores e ambientes de desenvolvimento baseados em Linux, já que o payload destrutivo - um script Bash chamado done.sh, executa um comando 'dd' para a atividade de limpeza do arquivo.
Além disso, o payload verifica se está rodando em um ambiente Linux (runtime.GOOS == "linux") antes de tentar a execução.
Uma análise da empresa de segurança de cadeia de suprimentos Socket mostra que o comando sobrescreve com zeros cada byte de dados, levando a perda de dados irreversível e falha do sistema.
O alvo é o volume de armazenamento primário, /dev/sda, que contém dados críticos do sistema, arquivos de usuários, bancos de dados e configurações.
Os pesquisadores descobriram o ataque em abril e identificaram três módulos Go no GitHub, que desde então foram removidos da plataforma:
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
Todos os três módulos continham código ofuscado que decodifica em comandos que usam 'wget' para baixar o script malicioso de limpeza de dados (/bin/bash ou /bin/sh).
De acordo com os pesquisadores da Socket, os payloads são executados imediatamente após o download, "não deixando praticamente nenhum tempo para resposta ou recuperação."
Os módulos Go maliciosos parecem ter se passado por projetos legítimos para converter dados de mensagens para vários formatos (Prototransform), uma implementação em Go do Protocolo de Contexto de Modelo (go-mcp) e uma ferramenta de proxy TLS que fornece criptografia para servidores TCP e HTTP (tlsproxy).
Os pesquisadores da Socket alertam que mesmo uma exposição mínima aos módulos destrutivos analisados pode ter um impacto significativo, como a perda total de dados.
Por causa da natureza descentralizada do ecossistema Go, que carece de verificações adequadas, pacotes de diferentes desenvolvedores podem ter nomes iguais ou similares.
Os atacantes podem aproveitar isso para criar namespaces de módulos que pareçam legítimos e esperar que os desenvolvedores integrem o código malicioso em seus projetos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...