Фальшиві пакети Go атакують Linux та MacOS

Бережись, кіберзлочинці націлили зловмисну кампанію на розробників, які використовують Golang (Go) на macOS та Linux. 

Дослідники Socket виявили, що кіберзлочинці активно застосовують typosquatting. Це метод, де шкідливі пакети маскуються під популярні бібліотеки. Розробники завантажують їх замість справжніх та навіть не здогадуються, що вони містять шкідливий код. 

Знайдено мінімум 7 підроблених бібліотек і деякі з них спеціально націлені на фінансовий сектор:

• shallowmulti/hypert
• shadowybulk/hypert
• belatedplanet/hypert
• thankfulmai/hypert
• vainreboot/layout
• ornatedoctrin/layout
• utilizedsun/layout

Компанія також зазначила, що зміни були внесені в репозиторій GitHub, який був копією законного інструменту BoltDB. Зловмисник змінив тег для версії 1.3.1, вказавши на «чистий» коміт, замість оригінальної шкідливої. Цей підхід дозволив уникнути виявлення зараженого коду під час ручного аудиту сховища.

Якщо така атака вдасться, наслідки можуть бути катастрофічними, адже шкідливий код інтегрується глибоко в застосунок. 

З огляду на складність кібератаки, можна очікувати, що зловмисники не зупиняться на досягнутому. Враховуючи скоординованість цього нападу, нові заражені пакети, ймовірно, вже розробляються.

Як працює атака?

1. Відкладене виконання коду
   Після встановлення, заражений пакет залишається неактивним принаймні годину, щоб уникнути виявлення.
2. Розгортання
   Активуються частини шкідливого коду, які можуть підключати сторонні інструменти або завантажувати додаткові шкідливі компоненти.
3. Експлуатація
   Злочинці можуть отримати повний контроль над системою або виконувати інші зловмисні дії. Наприклад, викрасти дані чи встановити власний доступ.

Що робити, щоб вберегтись?

Щоб зменшити ризики, дослідники Socket рекомендують:

У міру розвитку кампанії проактивні заходи, такі як перевірка цілісності пакетів, моніторинг нових сховищ та обмін індикаторами компрометації, матимуть важливе значення для зменшення ризику подальших компрометацій ланцюгів постачання.

Це, звісно, займе трохи часу, але зменшить ризик «підхопити», щось серйозне.

Післяслово

Як то кажуть: «Вірити не можна навіть пакету, який на 100% виглядає безпечним». Якщо не хочеш дати навіть шансу злочинцям та допустити їх до своєї ОС, тоді розглянь курс «Linux. Базовий рівень». Це не лише допоможе тобі захистити систему, але й відкриє нові горизонти у світі адміністрування та DevOps.