恶意Go模块在高阶供应链攻击中传播 Linux 恶意软件擦除磁盘-CSDN博客

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

网络安全研究员发现了三个恶意Go模块，它们包含混淆代码可提取下一阶段的 payload，能够以不可逆转的方式覆写Linux 系统的主磁盘并将其渲染为不可启动。

这些恶意包的名称如下：

github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy

Socket 公司的研究员 Kush Pandya 表示，“尽管看似是合法的，但这些模块中包含高度混淆的、旨在提取和执行远程 payload 的混淆代码。”这些恶意包旨在查看它们所运行的操作系统是否为 Linux，如是，则通过wget从远程服务器上接收下一阶段的payload。该payload 是一个破坏性 shell 脚本，通过0来覆写整个主磁盘 (“/dev/sda”)，从而有效地阻止机器启动。Pandya 表示，“该破坏性方法确保没有数据恢复工具或取证流程能够恢复数据，因为这种方法直接以不可逆的方式进行覆写。该恶意脚本导致目标 Linux 服务器或开发员环境更快，凸显了现代供应链攻击带来的巨大危险，它可将看似可信任的代码转变为灾难性威胁。”

此前不久，多个npm恶意包被指存在于该注册表中，它们能够窃取助记种子短语和密币私钥并提取敏感数据。这些包由Socket、Sonatype和Fortinet 公司发现。

含恶意软件的针对密币钱包的程序包也出现在 PyPI 仓库中，它们能够嗅探助记种子短语。这些包在2024年发布之日起的下载量已超过6800次。另外7个PyPI 包也被指利用 Gmail 的SMTP 服务器和 WebSocket 提取数据和实现远程命令执行，试图躲避检测。这些包利用硬编码的 Gmail 账号凭据登录到服务的 SMTP 服务器并将消息发送到另外一个 Gmail 地址以提示成功攻陷。它们之后会建立 WebSocket 连接，与攻击者建立双向通信信道。攻击者利用与 Gmail 域名 (“smtp.gmail[.]com”) 的信任以及企业代理与端点防护系统可能不会将其标记为“可疑”的事实，导致攻击隐秘且可靠。

要缓解此类供应链威胁，建议开发人员通过检查发布者历史和GitHub 仓库链接来验证包的真实性；定期审计依赖并强制对私钥实施严格的访问控制。

Socket 公司的研究员 Olivia Brown 表示，“注意异常的出站连接，尤其是SMTP流量，因为攻击者可使用合法服务如 Gmail 来窃取敏感数据。不要仅仅因为一个程序包存在多年时间未被下架，就认为它是可信任的。”