Эксперты по кибербезопасности из компании Socket
Ссылка скрыта от гостей
новую серию атак на Linux-серверы, в которых злоумышленники используют вредоносные Go-модули, размещённые на GitHub. Три поддельных пакета, замаскированных под легальные проекты, содержали скрытый код, стирающий все данные на диске.
Как работает атака?
Вредоносные модули загружают и запускают скрипт done.sh, который моментально уничтожает информацию на основном диске (/dev/sda), заполняя его нулями с помощью команды dd. После этого восстановить систему невозможно — она полностью выходит из строя. Атака нацелена исключительно на Linux: скрипт проверяет операционную систему перед выполнением. По данным Socket, процесс происходит настолько быстро, что администраторы не успевают среагировать.
Какие модули оказались опасными?
Зловредные пакеты, уже удалённые с GitHub, маскировались под полезные инструменты:
- github[.]com/truthfulpharm/prototransform — якобы конвертер данных сообщений
- github[.]com/blankloggia/go-mcp — фейковая реализация протокола Model Context
- github[.]com/steelpoor/tlsproxy — поддельный TLS-прокси для TCP и HTTP
Почему это опасно?
Экосистема Go уязвима из-за децентрализованного управления: злоумышленники могут создавать модули с правдоподобными названиями, обманывая разработчиков. Достаточно одной случайно подключённой зависимости — и сервер будет уничтожен.
Рекомендации:
Рекомендации:
- Тщательно проверяйте сторонние зависимости.
- Ограничивайте использование малоизвестных репозиториев.
- Мониторьте активность процессов на критически важных серверах.
Угроза остаётся актуальной: даже кратковременное взаимодействие с такими модулями приводит к необратимым последствиям. Будьте бдительны!