Пряталось на GitHub: вредоносное ПО уничтожает данные на серверах Linux

В апреле пользователи Linux столкнулись с новой коварной атакой. Она была выявлена в прошлом месяце и использовала три вредоносных модуля Go, содержащих обфусцированный код для загрузки и выполнения удалённых вредоносных нагрузок. 

Целевая атака на цепочку поставок заражала Linux-серверы вредоносным ПО, которое стирает данные. Вредоносный код обнаружили в модулях Go, выложенных на GitHub. Атака ориентирована исключительно на Linux-серверы и среды разработки, так как её вредная нагрузка — Bash-скрипт done.sh — использует команду dd для стирания данных. Кроме того, перед выполнением скрипт проверяет, что работает именно в Linux (runtime.GOOS == "linux").

Выявить угрозу удалось компании Socket, которая с 2021 года занимается безопасностью поставок ПО. Исследователи обнаружили атаку, основанную на трёх модулях Go на GitHub (сейчас удалены), которые уничтожают загрузочные данные в среде Linux на системном диске.

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

Основной целью является корневой раздел /dev/sda, где хранятся критически важные системные данные, пользовательские файлы, базы данных и конфигурации. Во всех трёх модулях содержался обфусцированный код, который декодировался в команды, использующие wget для загрузки деструктивного скрипта (/bin/bash или /bin/sh) — и далее происходила перезапись данных на диске нулями. В итоге информация пропадала. 

Заражённые модули имитировали следующие проекты:

Prototransform — инструмент для преобразования данных сообщений в различные форматы.

go-mcp — реализация Model Context Protocol на Go.

tlsproxy — инструмент для шифрования TCP/HTTP-серверов.

Атака неожиданная и быстрая — достаточно всего лишь загрузить модули. На адекватную реакцию