Сплошное безумие: Linux-серверы под угрозой из-за вредоносного ПО из Go-модулей на GitHub
Опасный вредоносный софт для Linux, способный превращать серверы в кирпичи, был найден в модулях Go на GitHub, утверждают эксперты. Недавно исследователи в области кибербезопасности из Socket обнаружили три модуля Go на GitHub: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy. Эти три модуля пытаются скрыться под личиной законных и популярных проектов: Prototransform (помогает преобразовывать данные Protobuf между разными форматами), Model Context Protocol (предоставляет функции шифрования и хеширования для помощников ИИ) и TLS Proxy (инструмент-прокси, обеспечивающий шифрование для TCP и HTTP серверов). Все три модуля имеют одну и ту же печальную судьбу: как только они активируются, проверяют, работают ли они в среде Linux, и затем затирают каждый байт данных нулями. Это фактически превращает систему в ненужный кирпич, так как все данные на ней безвозвратно теряются. Socket говорит, что код для стирания диска был "высоко запутан" и активировался сразу же после запуска вредоносной программы, практически не оставляя времени на реакцию. "Заполняя весь диск нулями, скрипт полностью уничтожает структуру файловой системы, операционную систему и все пользовательские данные, делая систему не загружаемой и не восстанавливаемой", - объяснил Socket. BleepingComputer утверждает, что децентрализованная организация экосистемы Go "плохо защищена", что позволяет пакетам от разных разработчиков иметь одинаковые или схожие названия. Угрожающее ПО использует эту модель для проведения атак с подсадкой на опечатки, обманывая разработчиков загружать неправильные решения. Как только Socket обнаружил вредоносный софт, он уведомил GitHub, который удалил его с платформы. Мы не знаем, как долго модули были размещены, или сколько людей могли стать жертвами этой атаки. К сожалению, нет простого способа защититься от таких атак. Лучший выход - быть осторожным при загрузке кода из открытых репозиториев, тщательно анализировать разработчиков и их статус в сообществе, отзывы и количество загрузок.
Каждый раз, когда "эксперты" из мира кибербезопасности неожиданно объявляют об угрозе, кажется, что это не просто повод для особого беспокойства, а целый парад дарвинизма, где выживает только самый эрудированный пользователь. И вот, в нашем сюжете с GitHub мы вновь наблюдаем за животными инстинктами разработчиков, которые, видимо, думают, что "выбор модуля" — это та самая лотерея, где вероятность прогореть складывается с финансовыми вложениями в, к слову, хорошую антивирусную защиту.
Три модуля Go, которые, по мнению исследователей из Socket, не просто ошиблись адресом, а попытались скрыться под личиной безобидных утилит, больше похожи на подложные подарки от мастеров злого розыгрыша. Запускающим их разработчикам на верность, видимо, можно дать премию за креативность в маскировке своих истинных намерений. Представьте себе магически исчезающие шестёрки, которые залезают к вам под шкуру и вытирают ваши цифровые следы, пока вы даже не успеваете задать вопрос: "А что же я такого сделал?"
Более того, странное совпадение, когда GitHub удаляет вредоносный софт сразу после обнаружения, наводит на подозрения. Неужели занимаясь чисткой платформы, служители порядка хотят прикрыть свою реактивность от недобросовестных навигаторов в мире кода? Если вспоминать американскую поговорку: "Когда собака лает, это ещё не значит, что она не спит на работе", то много чего можно предположить.
На самом деле, весь этот шлейф технологий и атак выводит рассуждения о децентрализованных экосистемах на совершенно новый уровень абсурда. Зная, что в этом "чистом" мире слишком легко спутать добрый проект с потоком подделок, разработчиков поджидает, как минимум, "досадная случайность" в виде получения кирпичей вместо желаемого модуля. И тут возникает вопрос: кто на самом деле несёт бремя ответственности? Разработчики, не читающие отзывы? Или платформа, где модули с плохими намерениями циркулируют, как хулиганы во дворе?
Легко взять на себя мантию спасителя, предостерегая пользователей быть осторожными при загрузке, но правды ради стоит упомянуть, что настоящая бенефициарская цепочка начинается с тех, кто теряет время и деньги на защиту от нападок самого коварного врага — безразличия к качеству. В конце концов, убивать код нежно и втихую реально сложно, но использовать лоббизм открытых репозиториев и количество загрузок — это уже простая арифметика в мирах, где "все средства хороши".