builderall


Investigadores de ciberseguridad han descubierto tres módulos Go maliciosos que incluyen código ofuscado para obtener payloads que pueden sobrescribir irrevocablemente el disco principal de un sistema Linux y hacerlo inarrancable.


Los nombres de los paquetes se enumeran a continuación:





"diseñado para obtener y ejecutar payloads remotas", explicó Kush Pandya, investigador de Socket.


Los paquetes están diseñados para comprobar si el sistema operativo en el que se ejecutan es Linux y, en caso afirmativo, recuperar una payload de un servidor remoto mediante wget.


El payload es un script de shell destructivo que sobrescribe todo el disco primario ("/dev/sda") con ceros, lo que impide que la máquina arranque.


"Este método destructivo garantiza que ninguna herramienta de recuperación de datos o proceso forense pueda restaurar los datos, ya que los sobrescribe de forma directa e irreversible", afirma Pandya.


"Este script malicioso deja a los servidores Linux o entornos de desarrolladores objetivo completamente paralizados, destacando el peligro extremo que representan los ataques modernos de la cadena de suministro que pueden convertir un código aparentemente confiable en amenazas devastadoras."


La revelación se produce cuando se han identificado múltiples paquetes npm maliciosos en el registro con funciones para robar frases semilla mnemotécnicas y claves privadas de criptodivisas y exfiltrar datos sensibles. La lista de los paquetes, identificados por Socket, Sonatype, y Fortinet se encuentra a continuación:












En el repositorio Python Package Index (PyPI) también se han descubierto paquetes de malware dirigidos a monederos de criptomonedas - web3x y herewalletbot - con capacidad para desviar frases semilla mnemotécnicas. Estos paquetes se han descargado colectivamente más de 6.800 veces desde su publicación en 2024.


Se ha descubierto otro conjunto de siete paquetes PyPI que aprovechan los servidores SMTP y WebSockets de Gmail para la filtración de datos y la ejecución remota de comandos en un intento de eludir la detección. Los paquetes, que ya han sido eliminados, son los siguientes:









Los paquetes utilizan credenciales de cuenta de Gmail codificadas para iniciar sesión en el servidor SMTP del servicio y enviar un mensaje a otra dirección de Gmail como señal de que el ataque se ha realizado correctamente. Posteriormente, establecen una conexión WebSocket para establecer un canal de comunicación bidireccional con el atacante.


Los actores de la amenaza se aprovechan de la confianza asociada a los dominios de Gmail ("smtp.gmail[.]com") y del hecho de que es improbable que los proxies corporativos y los sistemas de protección de endpoints lo marquen como sospechoso, lo que lo hace a la vez sigiloso y fiable.


El paquete que se distingue del resto es cfc-bsb, que carece de la funcionalidad relacionada con Gmail, pero incorpora la lógica WebSocket para facilitar el acceso remoto.


Para mitigar el riesgo que plantean estas amenazas a la cadena de suministro, se aconseja a los desarrolladores que verifiquen la autenticidad de los paquetes comprobando el historial del editor y los enlaces a los repositorios de GitHub; que auditen periódicamente las dependencias; y que apliquen estrictos controles de acceso a las claves privadas.


"Esté atento a conexiones salientes inusuales, especialmente el tráfico SMTP, ya que los atacantes pueden utilizar servicios legítimos como Gmail para robar datos confidenciales", dijo Olivia Brown, investigadora de Socket. "No confíes en un paquete únicamente porque ha existido durante más de unos años sin ser retirado".


Fuente: thehackernews