Дослідники попередили про три шкідливі модулі Go, які містять обфусцирований код для отримання корисного навантаження. Така малварь здатна безповоротно перезаписати дані на основному диску Linux-системи.

Як повідомляють експерти Socket, загрозу було виявлено у складі трьох пакетів:

github[.]com/truthfulpharm/prototransform;
github[.]com/blankloggia/go-mcp;
github[.]com/steelpoor/tlsproxy.

«Незважаючи на зовнішню легітимність, ці модулі містили сильно обфусцирований код, призначений для отримання та виконання віддаленого корисного навантаження», – пишуть фахівці.

Шкідливі пакети перевіряли, чи запущені вони саме в Linux. У разі позитивної відповіді вони завантажували пейлоад для наступного етапу атаки з віддаленого сервера за допомогою wget.

Корисне навантаження являло собою деструктивний шелл-скрипт, який перезаписував весь основний диск (/dev/sda) нулями, після чого заражена машина більше не могла завантажуватися.

“Такий метод знищення гарантує, що жодні засоби для відновлення даних і форензіка не допоможуть відновити інформацію, оскільки вона безпосередньо та необоротно перезаписується. Шкідливий скрипт повністю виводить з ладу сервери Linux і середовища розроблення, що підкреслює надзвичайну небезпеку сучасних атак за ланцюжком поставок, які можуть перетворити, здавалося б, безпечний код на руйнівну загрозу”, – повідомляють у Socket.

Щоб знизити ризики, пов’язані з подібними погрозами, дослідники рекомендують перевіряти справжність пакетів, їхніх авторів і посилання на репозиторії GitHub, а також регулярно проводити аудит залежностей і суворо контролювати доступ до приватних ключів.