Pesquisadores de segurança cibernética descobriram três módulos Go maliciosos que incluem código ofuscado para buscar cargas úteis de próximo estágio que podem sobrescrever irrevogavelmente o disco primário de um sistema Linux e torná-lo não inicializável.
Os nomes dos pacotes estão listados abaixo –
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
“Apesar de parecerem legítimos, esses módulos continham código altamente ofuscado, projetado para buscar e executar cargas remotas”, disse o pesquisador do Socket, Kush Pandya .
Os pacotes são projetados para verificar se o sistema operacional no qual estão sendo executados é Linux e, se for, recuperar uma carga útil de próximo estágio de um servidor remoto usando wget.
O payload é um script de shell destrutivo que substitui todo o disco primário (” /dev/sda “) com zeros, impedindo efetivamente a inicialização da máquina.
“Esse método destrutivo garante que nenhuma ferramenta de recuperação de dados ou processo forense possa restaurar os dados, pois ele os substitui direta e irreversivelmente”, disse Pandya.
“Esse script malicioso deixa servidores Linux ou ambientes de desenvolvedores totalmente incapacitados, destacando o perigo extremo representado pelos ataques modernos à cadeia de suprimentos, que podem transformar códigos aparentemente confiáveis em ameaças devastadoras.”
A divulgação ocorre após a identificação de vários pacotes npm maliciosos no registro, com recursos para roubar frases-semente mnemônicas e chaves privadas de criptomoedas, além de exfiltrar dados confidenciais. A lista dos pacotes, identificados por Socket , Sonatype e Fortinet, está abaixo:
- cripto-criptografar-ts
- react-native-scrollpageviewtest
- bankingbundleserv
- buttonfactoryserv-paypal
- tommyboytesting
- conformidadereadserv-paypal
- oauth2-paypal
- serviço de plataforma de pagamento-paypal
- userbridge-paypal
- relacionamento com o usuário-paypal
Pacotes com malware direcionados a carteiras de criptomoedas também foram descobertos no repositório Python Package Index (PyPI) – web3x e herewalletbot – com capacidade de extrair frases-semente mnemônicas. Esses pacotes foram baixados coletivamente mais de 6.800 vezes desde sua publicação em 2024.
Outro conjunto de sete pacotes PyPI foi encontrado utilizando servidores SMTP e WebSockets do Gmail para exfiltração de dados e execução remota de comandos, na tentativa de evitar a detecção. Os pacotes, que já foram removidos, são os seguintes:
- cfc-bsb (2.913 downloads)
- coffin2022 (6.571 downloads)
- coffin-codes-2022 (18.126 downloads)
- coffin-codes-net (6.144 downloads)
- coffin-codes-net2 (6.238 downloads)
- coffin-codes-pro (9.012 downloads)
- caixão-túmulo (6.544 downloads)
Os pacotes usam credenciais de conta do Gmail codificadas para acessar o servidor SMTP do serviço e enviar uma mensagem para outro endereço do Gmail para sinalizar um ataque bem-sucedido. Em seguida, eles estabelecem uma conexão WebSocket para estabelecer um canal de comunicação bidirecional com o invasor.
Os agentes da ameaça aproveitam a confiança associada aos domínios do Gmail (“smtp.gmail[.]com”) e o fato de que proxies corporativos e sistemas de proteção de endpoint dificilmente os sinalizarão como suspeitos, o que os torna furtivos e confiáveis.
O pacote que se destaca dos demais é o cfc-bsb, que não possui a funcionalidade relacionada ao Gmail, mas incorpora a lógica do WebSocket para facilitar o acesso remoto.
Para mitigar o risco representado por tais ameaças à cadeia de suprimentos, os desenvolvedores são aconselhados a verificar a autenticidade do pacote verificando o histórico do publicador e os links do repositório GitHub; auditar dependências regularmente; e aplicar controles de acesso rigorosos às chaves privadas.
“Fique atento a conexões de saída incomuns, especialmente tráfego SMTP, pois invasores podem usar serviços legítimos como o Gmail para roubar dados confidenciais”, disse a pesquisadora do Socket, Olivia Brown. “Não confie em um pacote apenas porque ele existe há mais de alguns anos sem ser removido.”