Azienda di sicurezza informatica PRESA ha recentemente scoperto una serie di moduli Go dannosi in grado di fornire un carico utile distruttivo che cancella il disco. La campagna in particolare prende di mira i sistemi Linux sfruttando il sistema di moduli decentralizzati di Go, mettendo a rischio innumerevoli ambienti di sviluppo.
Come funziona l'attacco ai moduli Go dannosi?
Attacchi alla catena di fornitura come questo prendono di mira gli strumenti, biblioteche, e processi su cui gli sviluppatori fanno affidamento per creare software. Invece di attaccare direttamente il prodotto finale, i criminali informatici compromettono una dipendenza attendibile da qualche parte nella pipeline di sviluppo. Questo metodo consente al codice maligno di diffondersi ampiamente e furtivamente, spesso raggiungono gli ambienti di produzione prima del rilevamento.
Gli attori della minaccia hanno pubblicato moduli Go apparentemente legittimi denominati prototransform, go-mcp, e tlsproxy. Questi pacchetti contenevano codice fortemente offuscato che, una volta importato ed eseguito, scaricherebbe un payload tramite wget e innescare un cancellazione completa del sistema. Ciò rende effettivamente inutilizzabile la macchina infetta cancellando le directory di sistema critiche.
Sfruttare la natura aperta dei moduli Go
Il Vai linguaggio di programmazione consente agli sviluppatori di recuperare i moduli direttamente dalle piattaforme di controllo delle versioni come GitHub. Sebbene ciò incoraggi uno sviluppo rapido, introduce inoltre rischi per la sicurezza poiché non esiste un processo di verifica centrale. Gli aggressori hanno sfruttato questa lacuna caricando codice dannoso mascherato da librerie utili.
Offuscamento avanzato per eludere il rilevamento
Per evitare di far scattare l'allarme, il codice dannoso utilizzato tecniche di offuscamento come la manipolazione di array di stringhe e la valutazione dinamica del codice durante l'esecuzione. Ciò ha reso il rilevamento da parte degli antivirus tradizionali e degli analizzatori di codice statico notevolmente più difficile.
Come rimanere protetta
Questo incidente è un campanello d'allarme per gli sviluppatori che utilizzano strumenti open source. Per ridurre il rischio di cadere vittima di attacchi simili, è fondamentale:
- Esaminare attentamente le dipendenze di terze parti prima dell'uso.
- Utilizzare strumenti che eseguono la scansione per individuare vulnerabilità note e codice offuscato.
- Fissare le dipendenze a specifici, versioni attendibili.
- Eseguire regolarmente audit del codice e test di penetrazione.
- Eseguire frequentemente il backup dei sistemi per ripristinarli da potenziali attacchi distruttivi.
Pensieri finali
Questo incidente che comporta la cancellazione del disco, I moduli Go dannosi sono un chiaro esempio di come anche i piccoli, pacchetti oscuri possono introdurre rischi catastrofici negli ambienti degli sviluppatori. Gli aggressori dietro prototransform, go-mcp, e tlsproxy non ha preso di mira un'azienda specifica, poiché sfruttavano l'apertura, natura affidabile dell'ecosistema del modulo Go stesso. Per difendersi da minacce sempre più sofisticate, lo sviluppo di software sicuro deve andare oltre le pratiche tradizionali. Audit regolari del codice, analisi automatizzata delle dipendenze di terze parti, e il monitoraggio continuo del comportamento in fase di esecuzione dovrebbe essere integrato nel ciclo di vita dello sviluppo, soprattutto per progetti che dipendono fortemente da componenti open source, ha sottolineato il team di ricerca Socket.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: