В модулях Go, опубликованных на GitHub, обнаружено вредоносное ПО типа wiper для Linux
Исследователи из охранной фирмы Socket выявили вредоносную кампанию, использующую модули, написанные на Go и размещенные на GitHub, для распространения вредоносного ПО типа wiper, специально предназначенного для серверов Linux, с одной, безусловно, радикальной целью: полностью уничтожить все данные, хранящиеся в системе. Угроза была обнаружена в прошлом месяце и основана на трех модулях Go с запутанным кодом, предназначенных для запуска с удаленных серверов.
Хотя репозитории уже были удалены с GitHub, их анализ выявил шаблон, который они использовали: все они загружали вызываемый скрипт Bashdone.sh, который после запуска запускал команду dd, предназначенную для полной перезаписи содержимого основного диска (/dev/sda) нулями. То есть речь шла не только об удалении структуры файловой системы и пользовательских данных, но и об устранении всех шансов на восстановление.
В дополнение к inri, вредоносный код также включал явную проверку среды выполнения, чтобы убедиться, что это система Linux (runtime.GOOS == "linux"), что подтверждает преднамеренность атаки на среды на базе Linux, включая производственные серверы и системы разработки.
Скомпрометированными модулями были prototransform, go-mcp и tlsproxy, и они выдавали себя за законные инструменты с внешне безобидными функциями, такими как преобразование сообщений, реализация Go протокола контекста модели и прокси-сервер TLS для шифрования соединений TCP и HTTP соответственно. По мнению экспертов Socket, эта стратегия маскировки использует одно из слабых мест экосистемы Go: возможность публикации модулей с похожими или идентичными именами без централизованной системы проверки.
Точно так же в отчете Socket отмечается, что скрипт запускается практически сразу после его загрузки, что оставляет очень мало возможностей для реакции. Кроме того, даже минимальное воздействие анализируемого кода может иметь катастрофические последствия, такие как полная потеря данных, настаивают они.
Но … а как насчет базовой защиты системы от подобных действий? Потому что есть как профилактические меры для предотвращения ошибок, так и другие, в зависимости от установки. Этот момент не упоминается, но, похоже, все указывает на то, что атака работает, потому что сценарий запускается с разрешениями суперпользователя, нет необходимости обходить такие средства защиты, как SELinux, и, вероятно, его шансы на успех связаны скорее с небезопасными конфигурациями, чем с сбоями Linux.
Как бы то ни было, этот инцидент снова ставит под сомнение скрытые риски в цепочке поставок программного обеспечения, и дело в том, что, как и в случае с недавними вредоносными программами, такими как Auto-Color, хотя удаленного выполнения через скомпрометированные зависимости достаточно для заражения, при условии, что среда выполняет код с привилегиями с повышенными привилегиями это нужно делать с того же компьютера. В конце концов, безопасность в Linux зависит не только от ядра или дистрибутивов, но и от всего остального.
Редактор: AndreyEx
