Специалисты из компании Socket, которая занимается безопасностью цепочек поставок, обнаружили новую волну атак на серверы с операционной системой Linux. Злоумышленники используют модули на языке программирования Go, которые они публикуют на GitHub.
Вредоносный код был найден в трех модулях, которые были скрыты под нормальные проекты. Внутри этих модулей находится сложный код, который скачивает на сервер скрипт с названием done.sh и запускает его. Этот скрипт запускает команду dd, которая затирает все данные на диске нулями. Это означает, что все файлы, операционная система и базы данных на диске будут уничтожены, и систему будет невозможно восстановить.
Эта атака направлена только на сервера с Linux, так как скрипт проверяет, что система работает именно на этой операционной системе. Модули скачивают скрипт и сразу его запускают, что делает невозможным быстро отреагировать на атаку.
Список зловредных модулей, которые были удалены с GitHub, включает в себя три проекта: prototransform, go-mcp и tlsproxy. Они казались обычными проектами, но на самом деле содержали вредоносный код.
Проблема заключается также в архитектуре экосистемы Go: из-за отсутствия строгой модерации злоумышленники могут создавать модули с любыми именами, которые могут выглядеть как настоящие. Если разработчик случайно подключит такой модуль, это может привести к катастрофическим последствиям.
Поэтому важно быть осторожным, проверять зависимости и не доверять непроверенным репозиториям, даже если они кажутся надежными.
