Поделиться
В GitHub нашлись десятки пакетов на языке Go, убивающие ОС Windows и Linux, стирая все данные
Эксперты компании Socket нашли более десятка вредоносных библиотек в GitHub и два деструктивных вредоноса в NPM-репозитории Node.js. Кто-то снова пытается внедрить вредоносное ПО в чужие программные разработки.
По всему диапазону
Исследователи компании Socket обнаружили в GitHub набор из 11 вредоносных пакетов Go, одинаково успешно функционирующих в средах Windows и Linux и предназначенных для подгрузки дополнительных компонентов с удаленных серверов.
«После запуска код скрытно создает шелл, извлекает полезную нагрузку второго этапа из взаимозаменяемого набора конечных точек управления и контроля (C2) .icu и .tech и выполняет ее в оперативной памяти», - указывает исследователь безопасности Socket Оливия Браун (Olivia Brown).
Пакеты содержат глубоко обфусцированный загрузчик, который скачивает, дешифрует и запускает исполняемые файлы ELF и PE, которые, в свою очередь, собирают информацию о хосте, получают доступ к данным веб-браузера и пересылают собранную информацию на контрольные серверы.
«Поскольку полезная нагрузка второго этапа подгружает компоненты, написанные на bash для систем Linux, а исполняемые файлы под Windows декодируются через certutil.exe, под угрозой оказываются и серверы под управлением Linux, и рабочие станции под Windows», - пишет Браун.
Ситуацию осложняет децентрализованная природа экосистемы Go, позволяющая импортировать модули напрямую из репозиториев GitHub. Это нередко сбивает разработчиков с толку: в результатах поиска пакета на pkg.go.dev могут фигурировать сразу несколько модулей с похожими названиями. В публикации Socket говорится, что хакеры успешно пользуются этим обстоятельством, прорабатывая пространства имен своих вредоносных модулей так, чтобы они - навскидку, по крайней мере, - выглядели совершенно легитимными. Это повышает вероятность интеграции вредоносных пакетов в код разрабатываемых приложений.
В Socket считают, что все вышеперечисленные пакеты - результат работы одного фигуранта (неизвестно, впрочем, одного человека или группировки). Все они используют один и тот же контрольный сервер, формат кода тоже везде примерно одинаковый.
По мнению специалистов Socket, кросс-платформенный характер языка Go играет на руку злоумышленникам, пытающимся осуществить атаки на «цепочки поставок».
Внедриться и уничтожить
Впрочем, проблема не ограничивается языком Go. Совсем недавно были обнаружены два пакета npm - naya-flore и nvlore-hsc, которые маскируются под библиотеки сокетов WhatsApp*. Как отмечается в материале HackerNews, на момент написания их скачали не менее 1110 раз - всего за один месяц с момента публикации.
Проблема в том, что эти пакеты содержали функции уничтожения всех данных в системах разработчиков.
Эти пакеты извлекали из GitHub базу данных индонезийских телефонных номеров, проверяли, есть ли номер текущего пользователя WhatsApp в этой базе, и если он отсутствовал, то после первого же сопряжения мобильной и десктопной версии WhatsApp все файлы в системе пользователя удалялись с помощью команды «rm -rf *».
Кроме того, пакеты содержат функцию для передачи информации об устройстве на внешний адрес. Однако вызовы этой функции «закомментированы», т.е. не работают.
Оба пакета были опубликованы одним и тем же пользователем nayflore в начале июля 2025 г.
Как отмечают исследователи Socket, naya-flore содержит фиксированный токен персонального доступа в GitHub (Personal Access Token), который обеспечивает несанкционированный доступ к закрытым репозиториям, но зачем он там, остается неясным. Возможно, речь идет о еще не реализованной функции в пакете, находящемся в активной разработке.
«Открытое ПО в последние месяцы все интенсивнее фигурирует в киберкриминальных сводках, поскольку все чаще злоумышленники пытаются эксплуатировать открытые репозитории для скрытного распространения вредоносного кода», - говорит Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. «Деструктивные вредоносы также стали попадаться все чаще, и объяснить это какими-то общими тенденциями сложно. Атаки на цепочки поставок в большинстве случаев носят финансово-мотивированный характер: злоумышленники пытаются окольными путями получить доступ к большому количеству ресурсов в надежде на, например, слабо защищенные криптокошельки или ценные данные, за сохранение доступа к которым их владельцы готовы будут заплатить крупные деньги».
Пакеты npm, включающие возможности удаленного стирания данных, к настоящему моменту удалены из реестра Node.js.
*WhatsApp (принадлежит Meta, которая признана в России экстремистской и запрещена).
Короткая ссылка
