悪意のあるGoモジュールがディスク消去Linuxマルウェアを拡散
サイバーセキュリティ研究者らは最近、難読化されたコードを利用して安全でないペイロードを取得する3つの有害なGoモジュールを発見しました。これらのモジュールは、Linuxシステムに回復不能な損害を与える可能性があります。これらのモジュールは一見正当なもののように見えますが、システムのプライマリディスクを消去し、起動不能にするリモートペイロードを実行するように設計されています。
目次
安全でないGoパッケージを特定
次の Go モジュールが関係しています。
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
これらのパッケージには高度に難読化されたコードが含まれており、Linux システムで実行されたときにペイロードをダウンロードして実行するように設計されています。
破壊的なペイロードが重要なディスクデータを上書きする
破損したコードはLinuxオペレーティングシステムをチェックし、検出された場合はwgetを使用してリモートサーバーから次の段階のペイロードを取得します。このペイロードは破壊的なシェルスクリプトであり、システムのプライマリディスク(/dev/sda)をゼロで上書きします。その結果、システムは起動不能になり、ディスクは不可逆的に破壊されるため、データ復旧ツールやフォレンジックプロセスでは失われた情報を復元できません。この手法は、正規のコードがLinuxサーバーや開発環境に壊滅的な被害をもたらす可能性がある、サプライチェーン攻撃がもたらす極めて高いリスクを浮き彫りにしています。
不正なnpmパッケージによる脅威の増大
安全でないGoモジュールの発見に加え、複数の有害なnpmパッケージも検出されました。これらのパッケージは、ニーモニックシードフレーズや暗号通貨の秘密鍵などの機密情報を収集するように設計されており、ユーザーのデジタル資産の盗難につながる可能性があります。
疑わしいnpmパッケージが特定されました
次の npm パッケージは改ざんされているとフラグが付けられています:
- 暗号暗号化TS
- react-native-scrollpageviewtest
- バンキングバンドルサーブ
- ボタンファクトリーサーブ-PayPal
- トミーボーイテスト
- コンプライアンスリードサーブ-PayPal
- OAuth2 PayPal
- 支払いAPIプラットフォームサービス-PayPal
- ユーザーブリッジ-PayPal
- ユーザー関係-PayPal
これらのパッケージは機密情報を盗み出すために悪質に作成されており、ユーザーのプライバシーとセキュリティに大きな脅威をもたらします。
マルウェアを仕込んだPyPIパッケージが暗号通貨データを収集
Python Package Index(PyPI)リポジトリでも、仮想通貨ウォレットを狙った侵害パッケージが増加しています。これらのパッケージは2024年のリリース以来、6,800回以上ダウンロードされており、ニーモニックシードフレーズを盗み、ユーザーの仮想通貨保有量を危険にさらすように設計されています。
注目すべき安全でない PyPI パッケージ
暗号通貨ウォレットをターゲットとした 2 つの主要パッケージは次のとおりです。
- ウェブ3x
- ヒアウォレットボット
これらのパッケージは、ユーザーからニーモニックシードフレーズを盗み出し、デジタル資産を危険にさらすことを目的としています。さらに、GmailのSMTPサーバーとWebSocketを使用してデータを盗み出し、リモートアクセスを確立する7つのPyPIパッケージ(現在は削除済み)が発見されました。
Gmailベースのデータ流出とリモートコマンド実行
安全でないPyPIパッケージは、ハードコードされたGmailの認証情報を使用してGmailのSMTPサーバーにサインインし、別のGmailアドレスにメッセージを送信して侵入成功を通知します。その後、WebSocket接続が確立され、攻撃者は侵入先のシステムとの双方向通信を維持できるようになります。
Gmail ドメイン (smtp.gmail.com) を使用すると、Gmail サービスに関連付けられた信頼性により、企業のプロキシやエンドポイント保護システムがこれらの攻撃を疑わしいものとしてフラグ付けする可能性が低くなり、これらの攻撃はよりステルス的になります。
注目のパッケージ: cfc-bsb
パッケージ cfc-bsb は、Gmail 機能を備えておらず、代わりに WebSocket ロジックを使用してリモート アクセスを容易にし、従来の検出手段を回避しているため注目に値します。
サプライチェーンの脅威を軽減する方法
これらの有害なパッケージやその他のサプライ チェーンの脅威から保護するために、開発者は次のプラクティスを採用する必要があります。
- パッケージの信頼性を確認する: 発行者の履歴と GitHub リポジトリ リンクをチェックして、パッケージの正当性を確認します。
- 依存関係を定期的に監査する: 依存関係を定期的に監査し、それらが最新であり、悪意のあるコードがないことを確認します。
- 厳格なアクセス制御の実施: 秘密鍵やその他の機密資格情報を保護するために、厳格なアクセス制御メカニズムを実装します。
さらに、開発者は、特にSMTPトラフィックなど、通常とは異なる送信接続に常に注意を払う必要があります。攻撃者はGmailなどの正規のサービスを利用してデータを盗み出す可能性があるためです。また、長期間削除されずに存在しているという理由だけでパッケージを信頼することは避けるべきです。これは、安全でないアクティビティを隠蔽する可能性があるためです。
