{"id":963,"date":"2025-05-05T13:20:17","date_gmt":"2025-05-05T13:20:17","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=963"},"modified":"2025-05-05T13:20:21","modified_gmt":"2025-05-05T13:20:21","slug":"modulos-go-maliciosos-distribuem-malware-linux-capaz-de-limpar-discos-em-ataque-avancado-a-cadeia-de-suprimentos","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/05\/05\/modulos-go-maliciosos-distribuem-malware-linux-capaz-de-limpar-discos-em-ataque-avancado-a-cadeia-de-suprimentos\/","title":{"rendered":"M\u00f3dulos Go maliciosos distribuem malware Linux capaz de limpar discos em ataque avan\u00e7ado \u00e0 cadeia de suprimentos"},"content":{"rendered":"\n<p class=\"\">Pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram tr\u00eas m\u00f3dulos Go maliciosos que incluem c\u00f3digo ofuscado para buscar cargas \u00fateis de pr\u00f3ximo est\u00e1gio que podem sobrescrever irrevogavelmente o disco prim\u00e1rio de um sistema Linux e torn\u00e1-lo n\u00e3o inicializ\u00e1vel.<\/p>\n\n\n\n<p class=\"\">Os nomes dos pacotes est\u00e3o listados abaixo &#8211;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"\">github[.]com\/truthfulpharm\/prototransform<\/li>\n\n\n\n<li class=\"\">github[.]com\/blankloggia\/go-mcp<\/li>\n\n\n\n<li class=\"\">github[.]com\/steelpoor\/tlsproxy<\/li>\n<\/ul>\n\n\n\n<p class=\"\">&#8220;Apesar de parecerem leg\u00edtimos, esses m\u00f3dulos continham&nbsp;<a href=\"https:\/\/socket.dev\/blog\/obfuscation-101-the-tricks-behind-malicious-code\" rel=\"noreferrer noopener\" target=\"_blank\">c\u00f3digo altamente ofuscado,<\/a>&nbsp;projetado para buscar e executar cargas remotas&#8221;,&nbsp;<a href=\"https:\/\/socket.dev\/blog\/wget-to-wipeout-malicious-go-modules-fetch-destructive-payload\" rel=\"noreferrer noopener\" target=\"_blank\">disse<\/a>&nbsp;o pesquisador do Socket, Kush Pandya .<\/p>\n\n\n\n<p class=\"\">Os pacotes s\u00e3o projetados para verificar se o sistema operacional no qual est\u00e3o sendo executados \u00e9 Linux e, se for, recuperar uma carga \u00fatil de pr\u00f3ximo est\u00e1gio de um servidor remoto usando wget.<\/p>\n\n\n\n<p class=\"\">O payload \u00e9 um script de shell destrutivo que substitui todo o disco prim\u00e1rio (&#8221;&nbsp;<a href=\"https:\/\/www.baeldung.com\/linux\/dev-sda\" rel=\"noreferrer noopener\" target=\"_blank\">\/dev\/sda<\/a>&nbsp;&#8220;) com zeros, impedindo efetivamente a inicializa\u00e7\u00e3o da m\u00e1quina.<\/p>\n\n\n\n<p class=\"\">&#8220;Esse m\u00e9todo destrutivo garante que nenhuma ferramenta de recupera\u00e7\u00e3o de dados ou processo forense possa restaurar os dados, pois ele os substitui direta e irreversivelmente&#8221;, disse Pandya.<\/p>\n\n\n\n<p class=\"\">&#8220;Esse script malicioso deixa servidores Linux ou ambientes de desenvolvedores totalmente incapacitados, destacando o perigo extremo representado pelos ataques modernos \u00e0 cadeia de suprimentos, que podem transformar c\u00f3digos aparentemente confi\u00e1veis \u200b\u200bem amea\u00e7as devastadoras.&#8221;<\/p>\n\n\n\n<p class=\"\">A divulga\u00e7\u00e3o ocorre ap\u00f3s a identifica\u00e7\u00e3o de v\u00e1rios pacotes npm maliciosos no registro, com recursos para roubar frases-semente mnem\u00f4nicas e chaves privadas de criptomoedas, al\u00e9m de exfiltrar dados confidenciais. A lista dos pacotes, identificados por&nbsp;<a href=\"https:\/\/socket.dev\/blog\/malicious-npm-and-pypi-packages-steal-wallet-credentials\" rel=\"noreferrer noopener\" target=\"_blank\">Socket<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/www.sonatype.com\/blog\/revived-cryptojs-library-is-a-crypto-stealer-in-disguise\" rel=\"noreferrer noopener\" target=\"_blank\">Sonatype<\/a>&nbsp;e&nbsp;<a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/malicious-npm-packages-targeting-paypal-users\" rel=\"noreferrer noopener\" target=\"_blank\">Fortinet,<\/a>&nbsp;est\u00e1 abaixo:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"\">cripto-criptografar-ts<\/li>\n\n\n\n<li class=\"\">react-native-scrollpageviewtest<\/li>\n\n\n\n<li class=\"\">bankingbundleserv<\/li>\n\n\n\n<li class=\"\">buttonfactoryserv-paypal<\/li>\n\n\n\n<li class=\"\">tommyboytesting<\/li>\n\n\n\n<li class=\"\">conformidadereadserv-paypal<\/li>\n\n\n\n<li class=\"\">oauth2-paypal<\/li>\n\n\n\n<li class=\"\">servi\u00e7o de plataforma de pagamento-paypal<\/li>\n\n\n\n<li class=\"\">userbridge-paypal<\/li>\n\n\n\n<li class=\"\">relacionamento com o usu\u00e1rio-paypal<\/li>\n<\/ul>\n\n\n\n<p class=\"\">Pacotes com malware direcionados a carteiras de criptomoedas tamb\u00e9m foram descobertos no reposit\u00f3rio Python Package Index (PyPI) \u2013 web3x e herewalletbot \u2013 com capacidade de extrair frases-semente mnem\u00f4nicas. Esses pacotes foram baixados coletivamente mais de 6.800 vezes desde sua publica\u00e7\u00e3o em 2024.<\/p>\n\n\n\n<p class=\"\">Outro conjunto de sete pacotes PyPI foi&nbsp;<a href=\"https:\/\/socket.dev\/blog\/using-trusted-protocols-against-you-gmail-as-a-c2-mechanism\" rel=\"noreferrer noopener\" target=\"_blank\">encontrado<\/a>&nbsp;utilizando servidores SMTP e WebSockets do Gmail para exfiltra\u00e7\u00e3o de dados e execu\u00e7\u00e3o remota de comandos, na tentativa de evitar a detec\u00e7\u00e3o. Os pacotes, que j\u00e1 foram removidos, s\u00e3o os seguintes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"\">cfc-bsb (2.913 downloads)<\/li>\n\n\n\n<li class=\"\">coffin2022 (6.571 downloads)<\/li>\n\n\n\n<li class=\"\">coffin-codes-2022 (18.126 downloads)<\/li>\n\n\n\n<li class=\"\">coffin-codes-net (6.144 downloads)<\/li>\n\n\n\n<li class=\"\">coffin-codes-net2 (6.238 downloads)<\/li>\n\n\n\n<li class=\"\">coffin-codes-pro (9.012 downloads)<\/li>\n\n\n\n<li class=\"\">caix\u00e3o-t\u00famulo (6.544 downloads)<\/li>\n<\/ul>\n\n\n\n<p class=\"\">Os pacotes usam credenciais de conta do Gmail codificadas para acessar o servidor SMTP do servi\u00e7o e enviar uma mensagem para outro endere\u00e7o do Gmail para sinalizar um ataque bem-sucedido. Em seguida, eles estabelecem uma conex\u00e3o WebSocket para estabelecer um canal de comunica\u00e7\u00e3o bidirecional com o invasor.<\/p>\n\n\n\n<p class=\"\">Os agentes da amea\u00e7a aproveitam a confian\u00e7a associada aos dom\u00ednios do Gmail (&#8220;smtp.gmail[.]com&#8221;) e o fato de que proxies corporativos e sistemas de prote\u00e7\u00e3o de endpoint dificilmente os sinalizar\u00e3o como suspeitos, o que os torna furtivos e confi\u00e1veis.<\/p>\n\n\n\n<p class=\"\">O pacote que se destaca dos demais \u00e9 o cfc-bsb, que n\u00e3o possui a funcionalidade relacionada ao Gmail, mas incorpora a l\u00f3gica do WebSocket para facilitar o acesso remoto.<\/p>\n\n\n\n<p class=\"\">Para mitigar o risco representado por tais amea\u00e7as \u00e0 cadeia de suprimentos, os desenvolvedores s\u00e3o aconselhados a verificar a autenticidade do pacote verificando o hist\u00f3rico do publicador e os links do reposit\u00f3rio GitHub; auditar depend\u00eancias regularmente; e aplicar controles de acesso rigorosos \u00e0s chaves privadas.<\/p>\n\n\n\n<p class=\"\">&#8220;Fique atento a conex\u00f5es de sa\u00edda incomuns, especialmente tr\u00e1fego SMTP, pois invasores podem usar servi\u00e7os leg\u00edtimos como o Gmail para roubar dados confidenciais&#8221;, disse a pesquisadora do Socket, Olivia Brown. &#8220;N\u00e3o confie em um pacote apenas porque ele existe h\u00e1 mais de alguns anos sem ser removido.&#8221;<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n","protected":false},"excerpt":{"rendered":"<p>Pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram tr\u00eas m\u00f3dulos Go maliciosos que incluem c\u00f3digo ofuscado para buscar cargas \u00fateis de pr\u00f3ximo est\u00e1gio que podem sobrescrever irrevogavelmente o disco prim\u00e1rio de um sistema Linux e torn\u00e1-lo n\u00e3o inicializ\u00e1vel. Os nomes dos pacotes est\u00e3o listados abaixo &#8211; &#8220;Apesar de parecerem leg\u00edtimos, esses m\u00f3dulos continham&nbsp;c\u00f3digo altamente ofuscado,&nbsp;projetado para buscar e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":964,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7,1],"tags":[],"class_list":["post-963","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=963"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/963\/revisions"}],"predecessor-version":[{"id":965,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/963\/revisions\/965"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/964"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}