Uma nova e perigosa campanha de ataque à cadeia de fornecimento está a visar servidores Linux, utilizando malware destruidor de discos habilmente escondido em módulos Golang publicados na plataforma GitHub. A ofensiva foi identificada no mês passado e baseava-se em três módulos Go maliciosos que continham "código altamente ofuscado", concebido para obter e executar cargas úteis remotas.
Destruição completa do disco como objetivo final
O ataque parece ter sido desenhado especificamente para ambientes de servidor e de desenvolvimento baseados em Linux. A sua carga útil destrutiva, um script Bash denominado done.sh, utiliza o conhecido comando dd para proceder à eliminação dos ficheiros. Para garantir que atinge o alvo correto, o payload verifica se está a ser executado num ambiente Linux (confirmando se runtime.GOOS == "linux") antes de iniciar a sua nefasta tarefa.
Uma análise realizada pela empresa de segurança da cadeia de fornecimento Socket revela que o comando sobrescreve cada byte de dados com zeros. Este processo leva a uma perda de dados irreversível e à falha completa do sistema. O alvo principal é o volume de armazenamento primário, tipicamente /dev/sda, que aloja dados críticos do sistema, ficheiros de utilizadores, bases de dados e configurações essenciais.
Segundo a Socket, "Ao preencher todo o disco com zeros, o script destrói completamente a estrutura do sistema de ficheiros, o sistema operativo e todos os dados do utilizador, tornando o sistema impossível de arrancar e irrecuperável".
Módulos maliciosos identificados e removidos
Os investigadores da Socket descobriram este ataque em abril e identificaram três módulos Go específicos no GitHub que, desde então, foram removidos da plataforma.
Estes três módulos continham código ofuscado que, uma vez descodificado, executava comandos utilizando wget para descarregar o script malicioso de limpeza de dados (através de /bin/bash ou /bin/sh). De acordo com os especialistas da Socket, as cargas úteis são executadas imediatamente após o download, "não deixando praticamente tempo para resposta ou recuperação".
Os módulos Go maliciosos aparentavam ser projetos legítimos, tentando passar-se por:
Prototransform: uma ferramenta para converter dados de mensagens para vários formatos.
go-mcp: uma implementação em Go do Protocolo de Contexto de Modelo.
tlsproxy: uma ferramenta de proxy TLS que fornece encriptação para servidores TCP e HTTP.
A fragilidade explorada no ecossistema Go
Os investigadores da Socket alertam que mesmo uma exposição mínima a estes módulos destrutivos pode ter um impacto significativo, resultando na perda total de dados. A natureza descentralizada do ecossistema Go, que carece de verificações adequadas, é um fator de risco. Pacotes de diferentes programadores podem ter nomes iguais ou muito semelhantes.
Os atacantes podem tirar partido desta característica para criar espaços de nomes de módulos que pareçam legítimos, esperando pacientemente que os programadores, inadvertidamente, integrem o código malicioso nos seus próprios projetos, desencadeando assim consequências devastadoras.
Nenhum comentário
Seja o primeiro!