(https://i.imgur.com/EMXu4gd.png)
Investigadores de seguridad cibernética han identificado tres módulos maliciosos escritos en Go que contienen código ofuscado capaz de ejecutar una carga útil destructiva en sistemas Linux. Esta amenaza puede sobrescribir completamente el disco principal y dejar la máquina inoperativa.
Nombres de los paquetes maliciosos de Go:- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
Según Kush Pandya, investigador de la firma de seguridad Socket, estos módulos aparentemente legítimos incluían scripts ocultos que descargan cargas útiles remotas utilizando wget, específicamente cuando detectan que están ejecutándose en un sistema operativo Linux.
Una carga útil diseñada para inutilizar servidores LinuxLa carga maliciosa descargada es un script de shell destructivo que sobrescribe el disco primario (/dev/sda) con ceros, eliminando por completo cualquier dato. Este tipo de ataque:
- Imposibilita el arranque del sistema
- Evita la recuperación con herramientas forenses
- Deja servidores y entornos de desarrollo completamente inutilizados
Esta amenaza demuestra el peligro extremo de los ataques a la cadena de suministro, en los que código aparentemente confiable puede convertirse en una herramienta de sabotaje devastadora.
Paquetes npm maliciosos orientados al robo de criptomonedasEn paralelo, se han descubierto múltiples paquetes npm maliciosos diseñados para robar frases semilla mnemotécnicas y claves privadas de billeteras de criptomonedas, además de exfiltrar otros datos sensibles.
Lista de paquetes npm identificados:- cripto-encript-ts
- react-native-scrollpageviewtest
- de bancabundleserv
- buttonfactoryserv-PayPal
- TommyboyTesting
- cumplimientoreadserv-PayPal
- oauth2-PayPal
- de pagoapiplataformaservicio-PayPal
- userbridge-PayPal
- Relación de usuario-PayPal
Estos paquetes fueron detectados por Socket, Sonatype y Fortinet, quienes alertan sobre el uso de nombres relacionados con PayPal para ganar legitimidad falsa y atraer desarrolladores desprevenidos.
Malware en PyPI con capacidades de exfiltración y control remotoTambién se han identificado paquetes maliciosos en el Python Package Index (PyPI), centrados en robo de frases semilla de criptomonedas y técnicas de exfiltración encubierta de datos utilizando Gmail y WebSockets.
Paquetes PyPI con funcionalidades maliciosas:- web3x
- herewalletbot
- CFC-BSB (2.913 descargas)
- Coffin2022 (6.571 descargas)
- coffin-codes-2022 (18.126 descargas)
- coffin-codes-net (6.144 descargas)
- coffin-codes-net2 (6.238 descargas)
- coffin-codes-pro (9.012 descargas)
- Ataúd-Tumba (6.544 descargas)
Estos paquetes utilizan credenciales codificadas de cuentas de Gmail para iniciar sesión en el servidor SMTP y enviar correos que confirman la infección del sistema. Luego, establecen canales WebSocket para permitir ejecución remota de comandos por parte del atacante.
CitarEl paquete CFC-BSB, a diferencia de los demás, no utiliza Gmail pero sí incorpora lógica WebSocket para control remoto, lo que lo convierte en una variante igualmente peligrosa.
Tácticas evasivas para evitar la detecciónEstos actores de amenazas aprovechan la confianza en dominios legítimos como smtp.gmail[.]com, que no suelen ser marcados como sospechosos por proxies corporativos ni soluciones de seguridad de endpoints. Esta táctica aumenta el sigilo de la comunicación maliciosa, dificultando su detección y respuesta temprana.
Cómo mitigar ataques a la cadena de suministro de softwarePara protegerse de estos paquetes maliciosos y mantener entornos de desarrollo seguros, se recomienda:
- Verificar el historial del editor del paquete y los enlaces del repositorio en GitHub
- Auditar dependencias con herramientas automáticas
- Controlar estrictamente el acceso a claves privadas
- Monitorear conexiones salientes inusuales, especialmente tráfico SMTP
- No confiar en paquetes solo por su antigüedad o popularidad
Citar"No confíes ciegamente en un paquete solo porque ha existido por años", advierte Olivia Brown, investigadora de Socket. "Los atacantes pueden tomar control de paquetes aparentemente inofensivos en cualquier momento".
Fuente: https://thehackernews.com/