Linux擦除器恶意软件隐藏在GitHub上的恶意Go模块

安全研究人员最新发现，供应链攻击的目标是Linux服务器，其磁盘擦除恶意软件隐藏在GitHub上发布的Golang模块中。

该活动于上个月被发现，并依赖于三个恶意Go模块，其中包括“高度混淆的代码”，用于检索远程有效载荷并执行它们。

磁盘完全销毁

这种攻击似乎是专门为基于linux的服务器和开发人员环境设计的，因为破坏性的有效载荷——一个名为done.sh的Bash脚本，会为文件清除活动运行一个‘ dd ’命令。

此外，有效负载验证它在Linux环境（运行时）中运行。GOOS == "linux")，然后再尝试执行。

供应链安全公司Socket的一项分析表明，该命令用零覆盖数据的每个字节，导致不可逆转的数据丢失和系统故障。

目标是主存储卷/dev/sda，其中包含关键系统数据、用户文件、数据库和配置。

“通过用零填充整个磁盘，脚本完全破坏了文件系统结构、操作系统和所有用户数据，使系统无法启动和不可恢复”——Socket

研究人员在4月份发现了这次攻击，并在GitHub上发现了三个Go模块，这些模块已经从平台上删除：

·github[.]com/truthfulpharm/prototransform

·github[.]com/blankloggia/go-mcp

·github[.]com/steelpoor/tlsproxy

所有三个模块都包含混淆的代码，这些代码解码成使用‘ wget ’下载恶意数据清除脚本（/bin/bash或/bin/sh）的命令。

根据Socket研究人员的说法，有效负载在下载后立即执行，“几乎没有时间进行响应或恢复。”

恶意Go模块似乎模拟了将消息数据转换为各种格式的合法项目（Prototransform），模型上下文协议（Go -mcp）的Go实现，以及为TCP和HTTP服务器提供加密的TLS代理工具（tlsproxy）。即使最小限度地暴露在分析的破坏性模块中，也会产生重大影响，例如完全丢失数据。

由于Go生态系统的分散性，缺乏适当的检查，来自不同开发人员的包可能具有相同或相似的名称。

攻击者可以利用这一点来创建看似合法的模块名称空间，并等待开发人员将恶意代码集成到他们的项目中。