התחזות קטלנית: מתקפה חדשה מנסה למחוק לכם את השרת בלינוקס
מתקפת שרשרת אספקה חדשה כוללת מודולים שמוחקים את שרתי לינוקס עד היסוד, לצד חבילות npm ו-PyPI שמשתלטות על ארנקי קריפטו תוך שימוש מתוחכם בג'ימייל
עיבוד תמונה: גיקטיים
חוקרי סייבר זיהו לאחרונה שלוש חבילות זדוניות שהתפרסמו כקוד פתוח לגיטימי, אך בפועל כוללות קוד מוסווה שמוחק לחלוטין את שרתי לינוקס ומשבית אותם לצמיתות. החבילות נכתבו בשפת Go, שפה שגוגל פיתחה במיוחד לפיתוח שירותי רשת ומערכות ענן, והפכה לפופולרית מאוד בקרב מפתחים בזכות הפשטות והביצועים שלה.
שלוש החבילות: prototransform, go-mcp ו־tlsproxy , כוללות קוד שמוריד סקריפט הרסני משרת מרוחק, ובמקרה שהמערכת פועלת על לינוקס, הסקריפט משתלט ומתחיל לכתוב אפסים על /dev/sda. כלומר: כל המידע נמחק, והשרת כבר לא יעלה לעולם.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
Socket, החברה שחשפה את הממצאים, מסבירה כי המודולים נראים תמימים לכל דבר: אין בהם קוד מחשיד בגלוי, אך בפנים מסתתר קוד מעורפל שמתעורר לחיים רק בתנאים מאוד מסוימים. שקט, יעיל, וקטלני.
גם ארנקי קריפטו על הכוונת
ואם זה לא הספיק, במקביל נחשפה סדרה של חבילות npm ו-PyPI שמגיעות עם תיאבון ברור: הן מחפשות ביטויים מנמוניים, רשימה של 12 עד 24 מילים שנראית תמימה, אך בפועל משמשת כשחזור מלא של ארנק קריפטוגרפי. כל מי שמחזיק בביטוי הזה מחזיק למעשה במפתח הגישה לכסף בלי צורך בסיסמה או באימות נוסף.
ברגע שהביטוי נחשף, לא ניתן "לנעול" את הארנק מחדש., ומתחברות לשירותי SMTP של Gmail כדי לדווח על "הצלחה" בפריצה. חלקן גם פותחות חיבור WebSocket דו־כיווני מול השרת של התוקף, תקשורת שקטה שעוקפת כמעט כל מנגנון ניטור רגיל. וזה החלק המטריד: השימוש בג’ימייל לא נעשה במקרה. שירות כמו smtp.gmail.com לא מסומן כברירת מחדל כחשוד, בטח לא בפרוקסי ארגוני או אנטי־וירוס קלאסי. וזה בדיוק מה שהופך את התקיפה הזו למתוחכמת ואפילו אמינה בעיני מערכות ההגנה עצמן.
חלק מהחבילות זכו לאלפי הורדות עוד לפני שזוהו, כולל שמות כמו coffin-codes-2022, cfc-bsb ו־herewalletbot, שממש לא נשמעים תמימים, אבל איכשהו שרדו לא מעט זמן באוויר.
מה שמדהים הוא שמדובר בחבילות שנראו רגילות. חלקן אפילו היו באוויר כמה חודשים טובים. וזה בדיוק המסר שצריך לעבור הלאה לכל מי שמנהל סביבת פיתוח או DevOps: העובדה שמשהו נמצא ב־npm או PyPI לא אומרת שהוא בטוח. העובדה שהוא קיים שלוש שנים לא אומרת שהוא לא השתנה אתמול בלילה. Socket ממליצה להפסיק לסמוך על ברירת המחדל. לבדוק מי המפרסם, מאיפה מגיע הקוד, ולהקשיב לחיישנים. זה כבר לא רק עניין של עדכון גרסה. זה עניין של הישרדות.
