Serangan rantai pasokan menargetkan server Linux dengan malware penyiar disk yang tersembunyi dalam modul Golang yang diterbitkan di GitHub.
Kampanye ini terdeteksi bulan lalu dan mengandalkan tiga modul GO berbahaya yang mencakup “kode yang sangat dikaburkan” untuk mengambil muatan jarak jauh dan melaksanakannya.
Penghancuran disk lengkap
Serangan itu tampaknya dirancang khusus untuk server dan lingkungan pengembang berbasis Linux, sebagai muatan yang merusak – naskah bash bernama Done.shmenjalankan perintah ‘dd’ untuk aktivitas penyipu file.
Selain itu, muatannya memverifikasi bahwa ia berjalan di lingkungan Linux (runtime.goos == “linux”) sebelum mencoba mengeksekusi.
Analisis dari soket perusahaan keamanan rantai pasokan menunjukkan bahwa perintah tersebut menimpa dengan nol setiap byte data, yang mengarah pada kehilangan data yang tidak dapat diubah dan kegagalan sistem.
Targetnya adalah volume penyimpanan utama, /Dev/sdayang menyimpan data sistem penting, file pengguna, basis data, dan konfigurasi.
“Dengan mengisi seluruh disk dengan nol, skrip benar -benar menghancurkan struktur sistem file, sistem operasi, dan semua data pengguna, membuat sistem tidak dapat di -boot dan tidak dapat dipulihkan” – – Stopkontak
Para peneliti menemukan serangan itu pada bulan April dan mengidentifikasi tiga modul GO di GitHub, yang sejak itu telah dihapus dari platform:
- Girub[.]com/jujurpharm/prototransform
- Girub[.]com/blankloggia/go-mcp
- Girub[.]com/steelpoor/tlsproxy
Ketiga modul berisi kode yang dikaburkan yang mendekode menjadi perintah yang menggunakan ‘wget’ untuk mengunduh skrip pembersihan data berbahaya (/bin/bash atau/bin/sh).
Menurut peneliti soket, muatan dieksekusi segera setelah diunduh, “meninggalkan hampir tidak ada waktu untuk respons atau pemulihan.”
Modul GO berbahaya tampaknya telah menyamar sebagai proyek yang sah untuk mengubah data pesan ke berbagai format (ProtoTransform), implementasi GO dari model Konteks Protokol (GO-MCP), dan alat proksi TLS yang menyediakan enkripsi untuk server TCP dan HTTP (TLSProxy).
Peneliti Socket memperingatkan bahwa bahkan paparan minimal terhadap modul destruktif yang dianalisis dapat berdampak signifikan seperti kehilangan data lengkap.
Karena sifat desentralisasi dari ekosistem GO yang tidak memiliki cek yang tepat, paket dari pengembang yang berbeda dapat memiliki nama yang sama atau serupa.
Penyerang dapat memanfaatkan ini untuk membuat ruang nama modul yang tampak sah dan menunggu pengembang untuk mengintegrasikan kode berbahaya ke dalam proyek mereka.
