サイバーセキュリティ研究者は、Linuxシステムの主要ディスクを不可逆的に上書きし、起動不能にする次の段階のペイロードを取得するための難読化されたコードを含む3つの悪意のあるGoモジュールを発見しました。
パッケージの名前は以下の通りです –
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
“これらのモジュールは正当であるように見えますが、リモートペイロードを取得して実行するために設計された高度に難読化されたコードを含んでいました,” とSocketの研究者Kush Pandyaが述べました。
これらのパッケージは、実行されているオペレーティングシステムがLinuxであるかどうかを確認し、そうであればwgetを使用してリモートサーバーから次の段階のペイロードを取得するように設計されています。
ペイロードは破壊的なシェルスクリプトで、主要ディスク全体(”/dev/sda“)をゼロで上書きし、マシンの起動を実質的に防ぎます。
“この破壊的な方法は、データを直接かつ不可逆的に上書きするため、データ復旧ツールやフォレンジックプロセスがデータを復元できないことを保証します,” とPandyaは述べました。
“この悪意のあるスクリプトは、ターゲットとなったLinuxサーバーや開発環境を完全に無力化し、信頼されているように見えるコードが壊滅的な脅威に変わる可能性がある現代のサプライチェーン攻撃の極端な危険性を浮き彫りにしています.”
この開示は、ニーモニックシードフレーズやプライベート暗号通貨キーを盗み、機密データを流出させる機能を持つ複数の悪意のあるnpmパッケージがレジストリで特定されたことを受けて行われました。これらのパッケージのリストは、Socket、Sonatype、およびFortinetによって特定されました –
- crypto-encrypt-ts
- react-native-scrollpageviewtest
- bankingbundleserv
- buttonfactoryserv-paypal
- tommyboytesting
- compliancereadserv-paypal
- oauth2-paypal
- paymentapiplatformservice-paypal
- userbridge-paypal
- userrelationship-paypal
暗号通貨ウォレットをターゲットにしたマルウェアを含むパッケージもPython Package Index (PyPI) リポジトリで発見されました – web3xとherewalletbot – これらはニーモニックシードフレーズを盗む能力を持っています。これらのパッケージは2024年に公開されて以来、合計で6,800回以上ダウンロードされています。
別のセットの7つのPyPIパッケージが、データの流出とリモートコマンドの実行を試みるためにGmailのSMTPサーバーとWebSocketsを利用していることが発見されました。これらのパッケージはすでに削除されていますが、以下の通りです –
- cfc-bsb (2,913 ダウンロード)
- coffin2022 (6,571 ダウンロード)
- coffin-codes-2022 (18,126 ダウンロード)
- coffin-codes-net (6,144 ダウンロード)
- coffin-codes-net2 (6,238 ダウンロード)
- coffin-codes-pro (9,012 ダウンロード)
- coffin-grave (6,544 ダウンロード)
これらのパッケージは、ハードコードされたGmailアカウントの資格情報を使用してサービスのSMTPサーバーにサインインし、別のGmailアドレスにメッセージを送信して成功した侵害を知らせます。その後、WebSocket接続を確立して攻撃者との双方向通信チャネルを確立します。
脅威アクターは、Gmailドメイン (“smtp.gmail[.]com”) に関連する信頼と、企業プロキシやエンドポイント保護システムがそれを疑わしいとフラグ付けしないという事実を利用し、それをステルス性と信頼性の両方を持たせています。
他のものとは異なるパッケージはcfc-bsbで、Gmail関連の機能はありませんが、リモートアクセスを容易にするためのWebSocketロジックを組み込んでいます。
このようなサプライチェーンの脅威によるリスクを軽減するために、開発者はパッケージの正当性を確認するために、発行者の履歴やGitHubリポジトリのリンクをチェックし、依存関係を定期的に監査し、プライベートキーに厳格なアクセス制御を適用することが推奨されます。
“特にSMTPトラフィックなどの異常なアウトバウンド接続に注意してください。攻撃者はGmailのような正当なサービスを使用して機密データを盗むことができます,” とSocketの研究者Olivia Brownは述べました。”数年以上存在していても削除されていないからといって、パッケージを信頼しないでください.”
翻訳元: https://thehackernews.com/2025/05/malicious-go-modules-deliver-disk.html