-
09/04/2020
-
95
-
778 bài viết
GitHub bị lạm dụng để phát tán phần mềm độc hại nhắm vào máy chủ Linux
Một cuộc tấn công chuỗi cung ứng nhắm vào các máy chủ Linux đã được phát hiện, sử dụng ba mô-đun Go độc hại được đăng tải trên GitHub.
Các mô-đun này chứa mã được che giấu kỹ lưỡng (highly obfuscated code) để tải và thực thi các payload từ xa, bao gồm một kịch bản xóa dữ liệu (wiper malware) nhắm vào thiết bị lưu trữ chính (/dev/sda), gây hỏng hệ điều hành và mất dữ liệu không thể khôi phục.
Cuộc tấn công có vẻ được thiết kế đặc biệt cho các máy chủ và môi trường phát triển dựa trên Linux, vì payload phá hoại- một script Bash có tên done.sh, sử dụng lệnh "dd" để thực hiện hành vi ghi đè dữ liệu. Hơn nữa, payload sẽ kiểm tra xem nó có đang chạy trong môi trường Linux không (runtime.GOOS == "linux") trước khi cố gắng thực thi.
Phân tích từ công ty bảo mật, chuỗi cung ứng Socket cho thấy lệnh này sẽ ghi đè toàn bộ dữ liệu trên đĩa bằng số 0, dẫn đến mất dữ liệu không thể phục hồi và hệ thống ngừng hoạt động hoàn toàn. Mục tiêu là thiết bị lưu trữ chính /dev/sda, nơi chứa dữ liệu hệ thống quan trọng, tập tin người dùng, cơ sở dữ liệu và cấu hình hệ điều hành.
Các nhà nghiên cứu đã phát hiện cuộc tấn công này vào tháng 4 và xác định ba mô-đun Go trên GitHub, hiện đã bị gỡ khỏi nền tảng:
Các mô-đun Go độc hại có vẻ đã giả mạo các dự án hợp pháp:
Các chuyên gia bảo mật khuyến nghị:
Các mô-đun này chứa mã được che giấu kỹ lưỡng (highly obfuscated code) để tải và thực thi các payload từ xa, bao gồm một kịch bản xóa dữ liệu (wiper malware) nhắm vào thiết bị lưu trữ chính (/dev/sda), gây hỏng hệ điều hành và mất dữ liệu không thể khôi phục.
Cuộc tấn công có vẻ được thiết kế đặc biệt cho các máy chủ và môi trường phát triển dựa trên Linux, vì payload phá hoại- một script Bash có tên done.sh, sử dụng lệnh "dd" để thực hiện hành vi ghi đè dữ liệu. Hơn nữa, payload sẽ kiểm tra xem nó có đang chạy trong môi trường Linux không (runtime.GOOS == "linux") trước khi cố gắng thực thi.
Phân tích từ công ty bảo mật, chuỗi cung ứng Socket cho thấy lệnh này sẽ ghi đè toàn bộ dữ liệu trên đĩa bằng số 0, dẫn đến mất dữ liệu không thể phục hồi và hệ thống ngừng hoạt động hoàn toàn. Mục tiêu là thiết bị lưu trữ chính /dev/sda, nơi chứa dữ liệu hệ thống quan trọng, tập tin người dùng, cơ sở dữ liệu và cấu hình hệ điều hành.
Các nhà nghiên cứu đã phát hiện cuộc tấn công này vào tháng 4 và xác định ba mô-đun Go trên GitHub, hiện đã bị gỡ khỏi nền tảng:
- github[.]com/truthfulpharm/prototransform
- github[.]com/blankloggia/go-mcp
- github[.]com/steelpoor/tlsproxy
Các mô-đun Go độc hại có vẻ đã giả mạo các dự án hợp pháp:
- prototransform: công cụ chuyển đổi dữ liệu tin nhắn sang các định dạng khác nhau,
- go-mcp: một triển khai Go của Model Context Protocol,
- tlsproxy: công cụ proxy TLS cung cấp mã hóa cho máy chủ TCP và HTTP.
Các chuyên gia bảo mật khuyến nghị:
- Các nhà phát triển cần xác minh tính xác thực của các mô-đun Go trước khi tích hợp vào dự án.
- Thiết lập quy trình kiểm tra bảo mật mã nguồn mở (OSS) trước khi đưa mô-đun vào môi trường phát triển hoặc sản xuất.