Что общего у Go, npm и PyPI? Новый способ убивать Linux-серверы

В экосистеме программных модулей на языке Go обнаружены три вредоносных компонента, способных привести к полной утрате данных на Linux-системах. Обнаруженные пакеты внешне выглядели как легитимные и не вызывали подозрений у разработчиков, однако внутри содержали запутанный код, активирующий механизм загрузки следующего этапа атаки.

После установки вредонос проверял, используется ли Linux, и при положительном ответе подключался к удалённому серверу через wget, чтобы загрузить скрипт, затирающий основной диск устройства. Этот скрипт записывал нули в область /dev/sda, что делало восстановление данных невозможным, а саму систему — полностью неработоспособной.

Авторы анализа из компании Socket подчёркивают , что подобный подход исключает возможность последующего анализа или восстановления информации. Атака демонстрирует, насколько разрушительными могут быть манипуляции в цепочке поставок ПО, где доверие к исходному коду оборачивается серьёзной угрозой.

На фоне этого инцидента специалисты также зафиксировали волну вредоносных пакетов в других популярных репозиториях. В npm были выявлены компоненты, способные красть мнемонические фразы и приватные ключи криптокошельков. Среди них фигурируют названия, содержащие отсылки к платёжным системам, что может вводить в заблуждение. Эти модули разрабатывались с расчётом на сбор конфиденциальной информации и её отправку злоумышленникам.

Параллельно с этим в Python-репозитории PyPI обнаружены инструменты с аналогичными целями . Некоторые из них, такие как web3x и herewalletbot, имели встроенные функции кражи сид-фраз и, по подсчётам, были загружены более 6 800 раз с момента публикации в 2024 году.

Отдельную тревогу вызвала группа из семи пакетов PyPI , использующих SMTP-серверы Gmail и WebSocket-соединения для скрытого обмена данными с удалёнными серверами. Зашитые учётные данные Gmail позволяли отправлять сообщения об успешной установке вредоноса, а затем поддерживать постоянный контакт с атакующим. Использование легитимного сервиса значительно снижало вероятность обнаружения, поскольку многие корпоративные системы не блокируют трафик, идущий через популярные облачные домены.

Из всех упомянутых пакетов особенно выделяется cfc-bsb, в котором отсутствует SMTP-функциональность, но при этом присутствует полноценная реализация WebSocket-протокола, что также предоставляет злоумышленнику удалённый доступ к заражённой машине.

Для снижения рисков разработчикам советуют внимательно проверять историю публикаций библиотек, сверять ссылки на репозитории GitHub, регулярно пересматривать используемые зависимости и ограничивать доступ к приватным ключам. Особое внимание стоит уделять нестандартному исходящему трафику, особенно по SMTP, поскольку даже привычные сервисы вроде Gmail могут быть использованы в целях скрытой передачи данных.