News Опасные модули на Go уничтожают данные на Linux-серверах

photo_2025-05-06_23-28-58.webp


Эксперты по кибербезопасности из компании Socket новую серию атак на Linux-серверы, в которых злоумышленники используют вредоносные Go-модули, размещённые на GitHub. Три поддельных пакета, замаскированных под легальные проекты, содержали скрытый код, стирающий все данные на диске.

Как работает атака?

Вредоносные модули загружают и запускают скрипт done.sh, который моментально уничтожает информацию на основном диске (/dev/sda), заполняя его нулями с помощью команды dd. После этого восстановить систему невозможно — она полностью выходит из строя. Атака нацелена исключительно на Linux: скрипт проверяет операционную систему перед выполнением. По данным Socket, процесс происходит настолько быстро, что администраторы не успевают среагировать.

Какие модули оказались опасными?

Зловредные пакеты, уже удалённые с GitHub, маскировались под полезные инструменты:​
  • github[.]com/truthfulpharm/prototransform — якобы конвертер данных сообщений​
  • github[.]com/blankloggia/go-mcp — фейковая реализация протокола Model Context​
  • github[.]com/steelpoor/tlsproxy — поддельный TLS-прокси для TCP и HTTP​

Почему это опасно?

Экосистема Go уязвима из-за децентрализованного управления: злоумышленники могут создавать модули с правдоподобными названиями, обманывая разработчиков. Достаточно одной случайно подключённой зависимости — и сервер будет уничтожен.

Рекомендации:
  • Тщательно проверяйте сторонние зависимости.​
  • Ограничивайте использование малоизвестных репозиториев.​
  • Мониторьте активность процессов на критически важных серверах.​
Угроза остаётся актуальной: даже кратковременное взаимодействие с такими модулями приводит к необратимым последствиям. Будьте бдительны!​
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!